Chiến dịch của Triều Tiên nhắm vào các nhà nghiên cứu bảo mật

 (blog.google)
2 điểm bởi GN⁺ 2023-09-08 | 1 bình luận | Chia sẻ qua WhatsApp
  • Threat Analysis Group (TAG) của Google đã báo cáo về một chiến dịch liên tục do các tác nhân được chính phủ Triều Tiên hậu thuẫn nhắm vào các nhà nghiên cứu bảo mật.
  • Chiến dịch này lần đầu được công khai vào tháng 1 năm 2021 và lợi dụng các lỗ hổng 0-day để nhắm vào các nhà nghiên cứu làm việc trong lĩnh vực nghiên cứu và phát triển lỗ hổng.
  • TAG đã theo dõi và làm gián đoạn các chiến dịch này trong hơn 2 năm, đồng thời tìm ra các 0-day để bảo vệ người dùng trực tuyến.
  • Gần đây, TAG đã xác định một chiến dịch mới từ chính những tác nhân này dựa trên sự tương đồng với các chiến dịch trước đó.
  • Ít nhất một 0-day đang hoạt động đã được sử dụng trong vài tuần qua để nhắm vào các nhà nghiên cứu bảo mật. Lỗ hổng này đã được báo cáo cho nhà cung cấp bị ảnh hưởng và hiện đang được vá.
  • Các tác nhân đe dọa của Triều Tiên sử dụng các trang mạng xã hội để xây dựng quan hệ với mục tiêu, thường tham gia các cuộc trò chuyện kéo dài và cố gắng hợp tác quanh những mối quan tâm chung.
  • Sau khi thiết lập quan hệ với nhà nghiên cứu mục tiêu, các tác nhân đe dọa sẽ gửi các tệp độc hại có chứa ít nhất một 0-day trong những gói phần mềm phổ biến.
  • Sau khi khai thác thành công, shellcode sẽ thực hiện kiểm tra máy ảo và gửi thông tin đã thu thập cùng ảnh chụp màn hình tới tên miền command-and-control do kẻ tấn công kiểm soát.
  • Ngoài việc dùng lỗ hổng 0-day để nhắm vào các nhà nghiên cứu, các tác nhân đe dọa còn phát triển một công cụ Windows độc lập trông như công cụ hữu ích để tải thông tin symbol, nhưng cũng có khả năng tải xuống và thực thi mã tùy ý từ tên miền do kẻ tấn công kiểm soát.
  • TAG khuyến nghị nếu đã tải xuống hoặc chạy công cụ này thì nên thực hiện các biện pháp phòng ngừa để xác minh hệ thống đang ở trạng thái sạch đã biết, điều này sẽ đòi hỏi phải cài đặt lại hệ điều hành.
  • TAG sử dụng kết quả nghiên cứu để cải thiện độ an toàn và bảo mật của các sản phẩm Google, đồng thời thêm mọi website và tên miền đã xác định vào Safe Browsing để ngăn người dùng tiếp tục bị khai thác.
  • TAG gửi cảnh báo về tác nhân tấn công được chính phủ hậu thuẫn tới người dùng Gmail và Workspace, đồng thời khuyến nghị các mục tiêu tiềm năng bật Enhanced Safe Browsing của Chrome và cập nhật tất cả thiết bị.
  • TAG cam kết chia sẻ kết quả nghiên cứu của mình với cộng đồng bảo mật để nâng cao nhận thức và cải thiện hiểu biết về chiến lược cũng như kỹ thuật, qua đó góp phần tăng cường bảo vệ người dùng trên toàn ngành.

Bài viết liên quan

1 bình luận

 
GN⁺ 2023-09-08
Ý kiến Hacker News
  • Công cụ độc hại getsymbol trên Github đã nhận được 214 sao nhưng không có biểu ngữ cảnh báo. Có ý kiến đề xuất Github thêm cảnh báo cho các phần mềm khác có backdoor đã được biết đến như trường hợp này.
  • Một câu hỏi được đặt ra là dù người Bắc Triều Tiên có quyền truy cập Internet không bị hạn chế và khả năng hiểu tiếng Anh, họ làm cách nào để tránh tiếp xúc với các phương tiện truyền thông mâu thuẫn với truyền thông nhà nước của họ.
  • Có ý kiến bày tỏ lo ngại về tính hợp pháp của các trang tải xuống phổ biến như ffmpeg windows binaries và khả năng các tác nhân cấp quốc gia lợi dụng các bản tải xuống được lưu trữ không chính thức.
  • Việc Triều Tiên sử dụng 0days nhắm vào các nhà nghiên cứu bảo mật được cho là mang tính thử nghiệm, đồng thời có lợi ích tiềm năng là có thể thu được thêm nhiều 0days từ các nhà nghiên cứu mục tiêu.
  • Có suy đoán rằng bản cập nhật bảo mật macOS gần đây có liên quan đến lỗ hổng đang được thảo luận.
  • Có sự hoài nghi về khả năng một nhà nghiên cứu bảo mật sẽ chạy các tệp nhị phân Windows nhận từ nguồn không rõ ràng; có ý kiến cho rằng nhiều khả năng họ sẽ kiểm tra các tệp nhị phân đó trong môi trường an toàn hơn.
  • Có câu hỏi về việc làm thế nào người ta xác định được mối đe dọa có nguồn gốc từ Triều Tiên.
  • Có ý kiến cho rằng trang web dbgsymbol.com không hiển thị cảnh báo trong Safe Browsing của Brave, mặc dù có tuyên bố rằng mọi trang web và tên miền đã được xác minh đều sẽ được thêm vào Safe Browsing.
  • Một cựu nhân viên tình báo cảnh báo không nên đánh giá thấp năng lực kỹ thuật của Triều Tiên hoặc khả năng của họ trong việc tuyển dụng những người thông minh và chăm chỉ.
  • Có đề xuất rằng nếu làm việc trong vai trò bảo mật thì nên tránh liệt kê chức danh của mình trên LinkedIn là bảo mật.