Tin tặc Kimsuky sử dụng PowerShell và Dropbox trong các cuộc tấn công mạng nhắm vào Hàn Quốc

Một nhóm tin tặc của Triều Tiên đã bị phát hiện có liên quan đến chiến dịch tấn công mạng nhắm vào các lĩnh vực kinh doanh, chính phủ và tiền điện tử của Hàn Quốc.

Chiến dịch tấn công này được công ty bảo mật Securonix (Mỹ) theo dõi với tên gọi là DEEP#DRIVE, do nhóm tin tặc Kimsuky thực hiện (hay còn được biết đến như APT43, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail, TA427 và Velvet Chollima).

Các nhà nghiên cứu bảo mật Den Iuzvyk và Tim Peck cho biết: “Bằng cách sử dụng các chiêu trò lừa đảo được thiết kế đặc biệt, viết bằng tiếng Hàn và ngụy trang thành các tài liệu hợp pháp, những kẻ tấn công đã xâm nhập thành công vào môi trường mục tiêu”, đồng thời mô tả cuộc tấn công này là “hoạt động tinh vi và nhiều giai đoạn”.

Các tài liệu độc hại được gửi qua email lừa đảo dưới dạng tệp [.]HWP, [.]XLSX và [.]PPTX, giả mạo thành nhật ký công việc, tài liệu bảo hiểm và tệp liên quan đến mật mã để đánh lừa người nhận mở chúng, từ đó kích hoạt quá trình lây nhiễm.

Chuỗi tấn công này đáng chú ý vì nó phụ thuộc nhiều vào các tập lệnh PowerShell ở nhiều giai đoạn khác nhau, bao gồm phân phối payload, rà quét và thực thi và sử dụng Dropbox để phân phối payload và trích xuất dữ liệu.

Cuộc tấn công bắt đầu với một tệp ZIP chứa một tệp Windows Shortcut ngụy trang thành một tài liệu hợp pháp, khi được giải nén và khởi chạy, sẽ kích hoạt lệnh thực thi mã PowerShell để truy xuất và hiển thị một tài liệu nhử được lưu trữ trên Dropbox, đồng thời âm thầm thiết lập tính bền bỉ trên máy chủ Windows thông qua một tác vụ theo lịch trình có tên gọi là “ChromeUpdateTaskMachine”.

Một tài liệu tương tự, được viết bằng tiếng Hàn, liên quan đến hướng dẫn cách thức làm việc an toàn cho hoạt động của xe nâng tại một doanh nghiệp, đi sâu vào việc xử lý an toàn hàng hóa nặng và phác thảo các cách đảm bảo tuân thủ các tiêu chuẩn an toàn tại nơi làm việc.

Tập lệnh PowerShell cũng được thiết kế để liên hệ với cùng một vị trí Dropbox nhằm lấy một tập lệnh PowerShell khác chịu trách nhiệm thu thập và trích xuất thông tin hệ thống. Hơn nữa, nó nhúng một tập lệnh PowerShell thứ ba chịu trách nhiệm cuối cùng cho việc thực thi một assembly [.]NET không xác định.

Các nhà nghiên cứu cho biết: “Việc sử dụng xác thực dựa trên Oauth token cho các API của Dropbox cho phép truyền dữ liệu trinh sát một cách liền mạch, chẳng hạn như thông tin hệ thống và các tiến trình đang hoạt động vào các thư mục được xác định trước. Cơ sở hạ tầng dựa trên đám mây này chứng minh một phương pháp lưu trữ và truy xuất dữ liệu hiệu quả nhưng bí mật, vượt qua (bypass) danh sách chặn IP hoặc tên miền truyền thống. Ngoài ra, cơ sở hạ tầng này có vẻ tồn tại trong thời gian ngắn, bằng chứng là việc xóa nhanh các liên kết chính sau giai đoạn đầu của cuộc tấn công”.

Securonix cho biết họ có thể tận dụng Oauth token để có thêm thông tin chi tiết về cơ sở hạ tầng của kẻ tấn công, tìm thấy bằng chứng cho thấy chiến dịch này có thể đã diễn ra từ tháng 9/2024.