Chặn đứng mã độc Kimsuky nhắm vào Hàn Quốc

  16/09/2013 04:00:00 2935

Ngày 11/9/2013, nhóm nghiên cứu bảo mật Kaspersky Lab công bố bảng báo cáo phân tích một chiến dịch gián điệp mạng nhắm mục tiêu vào một số đối tượng Hàn Quốc.

Chặn đứng mã độc Kimsuky nhắm vào Hàn Quốc

Kasperky Lab đã thành công trong chiến dịch chặn đứng mã độc Kimsuky nhắm vào Hàn Quốc

Chiến dịch có tên gọi Kimsuky và theo phân tích kỹ thuật, những kẻ tấn công hướng đến 11 tổ chức có trụ sở tại Hàn Quốc và hai tổ chức ở Trung Quốc trong đó có Viện Sejong, Viện Phân Tích Quốc Phòng Hàn Quốc (Kida), Bộ Thống Nhất Hàn Quốc, Hyundai Merchant Marine và những người ủng hộ thống nhất Hàn Quốc .

Mối đe dọa này đã có dấu hiệu hoạt động vào ngày 03/04/2013. Các mẫu trojan Kimsuky đầu tiên xuất hiện vào 05/05/ 2013. Chương trình gián điệp không tinh vi này bao gồm một số lỗi mã hóa cơ bản và xử lý thông tin liên lạc đến và đi từ máy tính bị nhiễm thông qua một trang web Bulgary đặt tại máy chủ email miễn phí (Bulgary web based on free-email server) (mail.bg).

Đầu mối mã độc bắt nguồn từ Hàn Quốc

Chặn đứng mã độc Kimsuky nhắm vào Hàn Quốc

Đầu mối được tìm thấy bởi các chuyên gia của Kaspersky Lab cho thấy có thể phỏng đoán về nguồn gốc những kẻ tấn công xuất phát từ Bắc Triều Tiên.

1. Hồ sơ của các mục tiêu nhắm vào các trường đại học Hàn Quốc đang có nghiên cứu về các vấn đề quốc tế và xây dựng các chính sách quốc phòng cho chính phủ. Thêm một công ty vận chuyển quốc gia , và các nhóm hỗ trợ cho sự thống nhất của Hàn Quốc.

2. Chuỗi đường dẫn url có chứa từ ngữ Hàn Quốc (một số từ trong đó có thể được dịch sang lệnh Tiếng Anh là " tấn công" và "hoàn thành") .

3. Hai địa chỉ email phát tán mã qua các file đính kèm - iop110112@hotmail.com và rsh1213@hotmail.com - được đăng ký với tên "kimsukyang" và "Kim asdfa". Ngoài ra, 10 địa chỉ IP gốc đều nằm trong phạm vi của mạng tỉnh Cát Lâm và Liêu Ninh ở Trung Quốc. Các ISP cung cấp truy cập Internet tại các tỉnh này cũng được cho là duy trì đường dẫn vào các khu vực của Triều Tiên.

Tác hại của mã độc Kimsuky

Chặn đứng mã độc Kimsuky nhắm vào Hàn Quốc

Các nhà nghiên cứu Kaspersky tin rằng phần mềm độc hại Kimsuky rất có thể được gửi qua các email spear-phishing (hình thức lừa đảo mà các nạn nhân đã được chọn lựa từ trước) và có khả năng thực hiện những chức năng gián điệp sau đây :

- Theo dõi thao tác bàn phím (keystroke logging)

- Sưu tập danh sách các file và thư mục tồn tại trên máy chủ (directory listing),

- Kiểm soát truy cập từ xa và đánh cắp tài liệu HWP (liên quan đến các ứng dụng xử lý văn bản Hàn Quốc từ bộ phần mềm Hancom Office

- Sử dụng rộng rãi bởi các chính quyền địa phương.

- Một tính năng "địa chính trị" thú vị của phần mềm độc hại Kimsuky là nó chỉ vô hiệu hóa công cụ bảo mật từ AhnLab, một công ty chống phần mềm độc hại của Hàn Quốc.

Những kẻ tấn công đang sử dụng một phiên bản sửa đổi của ứng dụng truy cập từ xa TeamViewer để phục vụ như một backdoor nhằm chiếm quyền điều khiển bất kỳ tập tin nào từ máy tính bị nhiễm .

Phần mềm độc hại Kimsuky chứa một chương trình độc hại được thiết kế chuyên dụng để đánh cắp các tập tin HWP, điều này cho thấy rằng các tài liệu này là một trong những mục tiêu chính của nhóm.

Chặn đứng mã độc Kimsuky nhắm vào Hàn Quốc

Chặn đứng mối đe dọa

Các sản phẩm của Kaspersky Lab đã phát hiện và vô hiệu hóa các mối đe dọa như Trojan.Win32.Kimsuky, đồng thời theo dõi các thành phần ngoại vi (client component) TeamViewer đã được phát hiện như là Trojan.Win32.Patched.ps .

Để đọc báo cáo đầy đủ của Kaspersky Lab chiến dịch Kimsuky, vui lòng truy cập http://www.securelist.com

Theo Kaspersky Lab

TIN CÙNG CHUYÊN MỤC

Thông báo nghỉ lễ Quốc Khánh 2022

31/08/2022 08:00:00 390
Kaspersky Proguide xin thông báo đến Quý khách hàng thời gian nghỉ lễ Quốc Khánh năm 2022 từ thứ Năm...

Thông báo nghỉ lễ Giải Phóng Miền Nam 30...

29/04/2022 12:00:00 641
Kaspersky Proguide xin thông báo đến Quý khách hàng và đối tác, chúng tôi sẽ nghỉ lễ Giải Phóng Miền...

Thông báo nghỉ lễ Giỗ Tổ Hùng Vương 2022

07/04/2022 02:00:00 662
Kaspersky Proguide xin thông báo đến Quý khách hàng và đối tác, chúng tôi sẽ nghỉ lễ Giỗ Tổ Hùng Vươ...

Thông báo thời gian nghỉ lễ Tết Nguyên Đ...

26/01/2022 08:00:00 969
Kaspersky Proguide xin thông báo đến Quý khách hàng thời gian nghỉ lễ Nhâm Dần 2022 từ ngày 29/01/20...

Thông báo giá bán mới của Kaspersky Smal...

02/01/2022 12:00:00 1.344
Từ ngày 2/1/2022, chúng tôi xin thông báo đến quý khách hàng về việc thay đổi chính sách giá bán của...

Thông báo thời gian nghỉ lễ Tết Dương Lị...

30/12/2021 08:00:00 1.134
Thời gian nghỉ lễ Tết Dương Lịch từ ngày Thứ Bảy 01/01/2022 đến Thứ Hai 03/01/2022. Chúng tôi sẽ làm...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ