Đông Nam Á và Hàn Quốc vẫn đang là mục tiêu tấn công của nhóm hacker APT nói tiếng Hàn

Theo các báo cáo về bảo mật định kỳ của Kaspersky, ngân hàng, chính phủ và các tổ chức tài chính, quân sự trong khu vực Đông Nam Á và Hàn Quốc chính là mục tiêu tấn công của các nhóm hacker APT nói tiếng Hàn.

Đây là tiết lộ trong báo cáo quý III năm 2019 của Kaspersky. Sử dụng một phần mềm độc hại Android ngụy trang dưới dạng tin nhắn di động hay ứng dụng tiền điện tử nhắm mục tiêu vào những tổ chức và đơn vị giao dịch tiền điện tử, một nhóm hacker APT khét tiếng đã liên tục thay đổi những công cụ của mình nhằm tấn công vào ngân hàng, bên cạnh đó còn có một nhóm nhỏ của Lazarus khai thác lỗ hổng CVE-2017-10271 để xâm nhập vào đơn vị cung cấp dịch vụ bảo mật mạng.

Nhóm hacker này nhắm mục tiêu vào nhiều tổ chức khác nhau nhưng đều đến từ Hàn Quốc, tạo ra nhiều mối đe dọa tại khu vực bán đảo Triều Tiên và Đông Nam Á.

Trong các hoạt động mới đang được các chuyên gia nghiên cứu bảo mật tại Kaspersky theo dõi, có sự hiện diện của các phần mềm độc hại Android ngụy trang dưới dạng ứng dụng nhắn tin hoặc các ứng dụng tiền điện tử. Sau khi hợp tác với Đội phản ứng khẩn cấp CERT Hàn Quốc để vô hiệu hóa máy chủ hacker, Kaspersky đã có thể điều tra các dòng mã độc mới cũng như nhanh chóng phát hiện mối quan hệ của nó với KONNI.

KONNI vốn dĩ là một chủng mã độc Windows được dùng trong quá khứ nhằm nhắm mục tiêu tấn công một tổ chức nhân quyền và cá nhân có các mối quan tâm hướng về bán đảo Triều Tiên. Mã độc này được biết đến với việc nhắm mục tiêu vào tiền điện tử nhằm triển khai đầy đủ các tính năng kiểm soát thiết bị Android bị nhiễm độc và đánh cắp tiền điện tử của người dùng khi họ sử dụng các tính năng này.

Bên cạnh đó, Kaspersky cũng đã theo dõi BlueNoroff, tập đoàn tài chính mà nhóm APT khét tiếng Lazarus, gây lây nhiễm cho một ngân hàng ở Myanmar trong quý 3 vừa qua. Với cảnh báo kịp thời, công ty an ninh mạng toàn cầu đã gửi tới ngân hàng và các nhà nghiên cứu liên quan những thông tin giá trị về phương thức những kẻ tấn công truy cập máy chủ sử dụng, chẳng hạn như các kỹ sư thuộc hệ thống ngân hàng hiện đang tương tác với Hiệp hội viễn thông liên ngân hàng và tài chính quốc tế (SWIFT - Society for Worldwide Interbank and Financial Telecommunication).

Qua đó, Kaspersky phát hiện các chiến thuật nhóm này sử dụng để tránh bị phát hiện cũng như sử dụng những tập lệnh Powershell một cách tinh vi và liên tục cập nhật thay đổi. BlueNoroff cũng sử dụng các phần mềm độc hại rất tinh vi có thể hoạt động như một backdoor thụ động hoặc chủ động, hoặc thậm chí là tunnel tùy thuộc vào các tham số dòng lệnh.

Nhóm phụ của Lazarus là Andariel APT cũng đã thực hiện các hành vi mới để xây dựng cơ sở hạ tầng nhắm mục tiêu vào các máy chủ Weblogic thông qua nỗ lực khai thác lỗ hổng bảo mật CVE-2017-10271. Chiến thuật này đã được chứng minh tính hiệu quả sau khi những kẻ tấn công đã thành công trong việc cấy mã độc vào chữ ký hợp pháp thuộc sự quản lý của một nhà cung cấp phần mềm bảo mật Hàn Quốc. Chữ ký chứa mã độc đã bị thu hồi nhờ phản ứng nhanh của CERT Hàn Quốc.

Ông Costin Raiu, Giám đốc Nhóm nghiên cứu & phân tích toàn cầu của Kaspersky cho biết: "Các cuộc tấn công nhắm mục tiêu chống lại tổ chức tài chính sử dụng nhiều kỹ thuật tinh vi - trước đây chỉ thấy trong các cuộc tấn công APT - với cơ sở hạ tầng được sử dụng để “rửa” sản phẩm bị đánh cắp. Trong Q3, chúng ta đã thấy các tác nhân đe dọa tiên tiến như Andariel và BlueNoroff của Lazarus nỗ lực thực hiện tấn công vào - không chỉ ngân hàng mà là các công ty đầu tư và tiền ảo. Chúng tôi khuyên tất cả doanh nghiệp khu vực APAC nên cảnh giác và đề phòng chống lại các cuộc tấn công tương tự như vậy”.

Ngoài ra, các nhóm APT nói tiếng Hàn cũng đang hoạt động dưới mã độc có tên là DADJOKE – chuyên săn lùng thông tin tình báo tại khu vực Đông Nam Á. Các nhà nghiên cứu đã theo dõi việc sử dụng phần mềm độc hại này trong một số ít chiến dịch vào đầu năm để chống lại các tổ chức chính phủ, quân đội và ngoại giao ở khu vực Đông Nam Á. Hoạt động mới nhất được phát hiện vào ngày 29/8/2018 liên quan đến một vài cá nhân làm việc cho tổ chức quân sự.

Ông Seongsu Park, nhà nghiên cứu bảo mật cấp cao tại Kaspersky cho biết: “Chúng tôi từng nhấn mạnh trong Báo cáo APT Q2 của mình rằng các chiến dịch APT nói tiếng Hàn đang dành nhiều sự chú ý vào nhiều tổ chức khác nhau ở khu vực Đông Nam Á và Hàn Quốc. Đúng như dự đoán, chúng tôi đã theo dõi thấy một số hoạt động độc hại từ các nhóm APT nói tiếng Hàn và mã độc mới xuất hiện ở cả hai khu vực từ tháng 7 đến tháng 9 năm nay. Quan sát của chúng tôi cho thấy hầu hết chúng đều rất “khát” thông tin tình báo, cả về bí mật tài chính và địa chính trị”.