Chiến dịch phần mềm độc hại Stark#Mule nhắm vào người Hàn Quốc, sử dụng tài liệu của quân đội Hoa Kỳ

Một chiến dịch phần mềm độc hại bằng tiếng Hàn có tên Stark#Mule đang nhắm mục tiêu vào các nạn nhân sử dụng tài liệu tuyển dụng của quân đội Hoa Kỳ làm mồi nhử, sau đó chạy phần mềm độc hại được dàn dựng từ các trang web thương mại điện tử hợp pháp nhưng bị xâm phạm của Hàn Quốc.

Công ty bảo mật Securonix đã phát hiện ra chiến dịch tấn công Stark#Mule, chiến dịch này cho phép các tác nhân đe dọa ngụy trang trong bối cảnh lưu lượng truy cập trang web bình thường.

Chiến dịch này dường như nhắm vào các nạn nhân nói tiếng Hàn ở Hàn Quốc, cho thấy có thể có nguồn gốc tấn công từ nước láng giềng Triều Tiên.

Một trong những chiến thuật được sử dụng là gửi các email lừa đảo có mục tiêu được viết bằng tiếng Hàn, gửi các tài liệu có vẻ hợp pháp vào kho lưu trữ zip có tham chiếu đến việc tuyển dụng và tuyển dụng của Quân đội Hoa Kỳ. Nhân lực & Dự trữ các nguồn lực có trong tài liệu.

Những kẻ tấn công đã thiết lập một hệ thống phức tạp cho phép chúng vượt qua những khách truy cập trang web hợp pháp, gây khó khăn cho việc phát hiện khi chúng truyền phần mềm độc hại và chiếm quyền điều khiển máy của nạn nhân.

Họ cũng sử dụng các tài liệu lừa đảo nhằm mục đích cung cấp thông tin về Quân đội Hoa Kỳ và việc tuyển quân, giống như những hũ mật ong.

Bằng cách lừa người nhận mở tài liệu, virus sẽ vô tình được thực thi. Giai đoạn cuối cùng liên quan đến một loại virus lây nhiễm khó giao tiếp qua HTTP và tự nhúng vào máy tính của nạn nhân, khiến việc tìm và loại bỏ trở nên khó khăn.

Zac Warren, cố vấn an ninh trưởng, EMEA, tại Tanium cho biết: “Có vẻ như họ đang nhắm mục tiêu vào một nhóm cụ thể, điều này cho thấy nỗ lực này có thể liên quan đến Triều Tiên, tập trung vào các nạn nhân nói tiếng Hàn”. “Điều này làm tăng khả năng xảy ra các cuộc tấn công mạng hoặc gián điệp do nhà nước bảo trợ.”

Stark#Mule cũng có thể đã nhúng tay vào một lỗ hổng zero-day hoặc ít nhất là một biến thể của lỗ hổng Microsoft Office đã biết, cho phép các tác nhân đe dọa giành được chỗ đứng trên hệ thống mục tiêu chỉ bằng cách yêu cầu người dùng mục tiêu mở tệp đính kèm.

Oleg Kolesnikov, phó chủ tịch nghiên cứu mối đe dọa, an ninh mạng của Securonix, cho biết dựa trên kinh nghiệm trước đây và một số chỉ số hiện tại mà ông đã thấy, rất có thể mối đe dọa này bắt nguồn từ Triều Tiên.

Ông nói: “Tuy nhiên, công việc ghi nhận tác giả cuối cùng vẫn đang được tiến hành”. “Một trong những điều khiến nó nổi bật là nỗ lực sử dụng các tài liệu liên quan đến quân đội Hoa Kỳ để dụ dỗ nạn nhân cũng như chạy phần mềm độc hại được dàn dựng từ các trang web hợp pháp, bị xâm nhập của Hàn Quốc.”

Ông nói thêm rằng đánh giá của Securonix về mức độ phức tạp của chuỗi tấn công là ở mức trung bình và lưu ý rằng những cuộc tấn công này phù hợp với các hoạt động trước đây của các nhóm Triều Tiên điển hình như APT37, với Hàn Quốc và các quan chức chính phủ nước này là mục tiêu chính.

Ông nói: “Phương pháp triển khai phần mềm độc hại ban đầu tương đối đơn giản. “Các tải trọng tiếp theo được quan sát có vẻ khá độc đáo và tương đối khó hiểu.”

Warren cho biết nhờ phương pháp tiên tiến, chiến lược khôn ngoan, nhắm mục tiêu chính xác, nghi ngờ có sự tham gia của nhà nước và khả năng tồn tại lâu dài của virus, Stark#Mule “hoàn toàn có ý nghĩa”.

Thành công thông qua kỹ thuật xã hội

Mayuresh Dani, giám đốc nghiên cứu mối đe dọa tại Qualys, chỉ ra việc vượt qua các biện pháp kiểm soát hệ thống, trốn tránh bằng cách hòa nhập với lưu lượng thương mại điện tử hợp pháp và giành quyền kiểm soát hoàn toàn đối với mục tiêu được chỉ định, trong khi không bị phát hiện, tất cả đều khiến mối đe dọa này trở nên đáng chú ý. 

“Kỹ thuật xã hội luôn là mục tiêu dễ dàng nhất trong chuỗi tấn công. Khi bạn kết hợp sự cạnh tranh chính trị dẫn đến sự tò mò vào điều này, bạn sẽ có được một công thức hoàn hảo để thỏa hiệp,” ông nói.

Mike Parkin, kỹ sư kỹ thuật cao cấp tại Vulcan Cyber, đồng ý rằng một cuộc tấn công kỹ thuật xã hội thành công đòi hỏi phải có một cú móc tốt.

Ông nói: “Ở đây, có vẻ như kẻ đe dọa đã thành công trong việc tạo ra các đối tượng đủ thú vị để mục tiêu của chúng cắn câu”. “Nó cho thấy sự hiểu biết của kẻ tấn công về mục tiêu của họ và điều gì có thể khơi gợi sự quan tâm của họ.”

Ông cho biết thêm Triều Tiên là một trong số những quốc gia được biết đến là làm mờ đi ranh giới giữa chiến tranh mạng, gián điệp mạng và hoạt động tội phạm mạng.

Parkin nói: “Với tình hình địa chính trị, các cuộc tấn công như thế này là một cách mà họ có thể tấn công nhằm thúc đẩy chương trình nghị sự chính trị của mình mà không gặp rủi ro nghiêm trọng khiến nó leo thang thành chiến tranh thực sự”. 

Chiến tranh mạng hoành hành ở một đất nước bị chia cắt

Bắc Triều Tiên và Hàn Quốc trong lịch sử luôn bất hòa kể từ khi chia tay - bất kỳ thông tin nào mang lại lợi thế cho bên kia đều luôn được hoan nghênh.

Hiện tại, Triều Tiên đang đẩy mạnh tấn công trong thế giới vật chất bằng cách thử tên lửa đạn đạo và nước này cũng đang cố gắng làm điều tương tự. trong thế giới kỹ thuật số.

“Do đó, mặc dù nguồn gốc của một cuộc tấn công là có liên quan nhưng các nỗ lực an ninh mạng nên tập trung vào việc phát hiện mối đe dọa tổng thể, sẵn sàng ứng phó và triển khai các phương pháp hay nhất để bảo vệ chống lại nhiều mối đe dọa tiềm ẩn, bất kể nguồn gốc của chúng là gì,” Dani nói. 

Theo cách nhìn của ông, quân đội Hoa Kỳ sẽ hợp tác với các quốc gia đối tác, bao gồm các cơ quan chính phủ khác, các đồng minh quốc tế và các tổ chức thuộc khu vực tư nhân, để chia sẻ thông tin tình báo về mối đe dọa liên quan đến Stark#Mule và hành động khắc phục khả thi.

Ông lưu ý: “Phương pháp hợp tác này sẽ tăng cường các nỗ lực an ninh mạng tổng thể và rất quan trọng để thúc đẩy hợp tác quốc tế về an ninh mạng”. “CNTT cho phép các quốc gia và tổ chức khác tăng cường phòng thủ và chuẩn bị cho các cuộc tấn công tiềm tàng, dẫn đến phản ứng toàn cầu mang tính phối hợp hơn trước các mối đe dọa mạng.”

Nhóm mối đe dọa dai dẳng (APT) nâng cao Lazarus do nhà nước Triều Tiên tài trợ đã quay trở lại với lại một trò lừa đảo mạo danh khác, lần này đóng giả là nhà phát triển hoặc nhà tuyển dụng có tài khoản GitHub hoặc mạng xã hội hợp pháp.

• Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
• PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
• PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
• Trung tâmESG. Ô tô / Xe điện, Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
• BlockOffsets. Hiện đại hóa quyền sở hữu bù đắp môi trường. Truy cập Tại đây.
• nguồn: https://www.darkreading.com/attacks-breaches/stark-mule-malware-campaign-targets-koreans-uses-us-army-documents