Theo báo cáo xu hướng tấn công có chủ đích (APT) của Kaspersky trong quý 3/2019, nhiều nhóm hacker đến từ Hàn Quốc đang tạo ra nhiều mối đe dọa tại khu vực bán đảo Triều Tiên và Đông Nam Á. Cụ thể, có nhóm đã tạo ra một phần mềm độc hại Androidngụy trang dưới dạng trình nhắn tin di động hay ứng dụng tiền điện tử nhắm mục tiêu vào những tổ chức và đơn vị giao dịch tiền điện tử; một nhóm APT khét tiếng liên tục thay đổi công cụ của mình để tấn công ngân hàng; và một nhóm nhỏ của Lazarus khai thác lỗ hổng CVE-2017-10271 để xâm nhập vào đơn vị cung cấp dịch vụ bảo mật mạng.
"Lột bỏ" lớp ngụy trang của phần mềm độc hại Android liên quan KONNI
Trong số những hoạt động mới được các nhà nghiên cứu của Kaspersky theo dõi, có sự hiện diện của phần mềm độc hại Android ngụy trang dưới dạng trình nhắn tin di động. Mã độc này cũng được biết đến với việc nhắm mục tiêu vào tiền điện tử, bằng cách kiểm soát thiết bị Android bị nhiễm độc và đánh cắp tiền điện tử cá nhân khi người dùng sử dụng các tính năng này.
Sau khi hợp tác chặt chẽ với Đội Phản ứng Khẩn cấp Cộng đồng (CERT) Hàn Quốc để vô hiệu hóa máy chủ của hacker, Kaspersky đã có thể điều tra mã độc mới cũng như phát hiện mối quan hệ của nó với KONNI. KONNI là một chủng mã độc Windows đã được sử dụng trong quá khứ để nhắm mục tiêu vào một tổ chức nhân quyền và cá nhân có mối quan tâm đến các vấn đề trên bán đảo Triều Tiên.
Nhiều nhóm hacker Hàn Quốc đang làm "nóng" an ninh mạng. (Ảnh minh họa: Internet)
BlueNoroff "tàng hình" tấn công các ngân hàng tại Đông Nam Á
Kaspersky cũng đã theo dõi BlueNoroff, tập đoàn tài chính của nhóm APT khét tiếng Lazarus, gây lây nhiễm cho một ngân hàng ở Myanmar trong quý 3/2019. Các phần mềm độc hại và chiến thuật mà BlueNoroff sử dụng rất tinh vi.
Với cảnh báo kịp thời, công ty an ninh mạng toàn cầu đã gửi tới ngân hàng và các nhà nghiên cứu liên quan những thông tin giá trị về phương thức những kẻ tấn công truy cập máy chủ, chẳng hạn như thông qua việc các kỹ sư thuộc hệ thống ngân hàng hiện tương tác với Hiệp hội Viễn thông liên ngân hàng và tài chính quốc tế (SWIFT - Society for Worldwide Interbank and Financial Telecommunication).
Andariel APT "cấy" mã độc vào chữ ký số của công ty bảo mật
Một nhóm phụ khác của Lazarus - nhóm Andariel APT đã xây dựng cơ sở hạ tầng C2 nhắm vào máy chủ Weblogic thông qua hoạt động khai thác lỗ hổng CVE-2017-10271. Chiến thuật này đã được chứng minh tính hiệu quả sau khi những kẻ tấn công thành công trong việc cấy mã độc vào chữ ký số hợp pháp thuộc sự quản lý của một nhà cung cấp phần mềm bảo mật Hàn Quốc.
Không chỉ phá hoại ở phạm vi quốc tế, các nhóm hacker Hàn Quốc cũng tấn công các đơn vị trong chính quốc gia của mình. (Ảnh minh họa: Internet)
Rất may, chữ ký chứa mã độc đã bị thu hồi nhờ phản ứng nhanh của CERT Hàn Quốc. Song dựa vào điều tra của Kaspersky, cuộc tấn công nói trên của Andariel mới chỉ nằm trong giai đoạn chuẩn bị cho một chiến dịch mới sẽ diễn ra trong tương lai.
DADJOKE chuyên săn lùng thông tin tình báo tại Đông Nam Á
Bên cạnh các nhóm APT nói tiếng Hàn đang hoạt động thì trong quý 3/2019, Kaspersky cũng đã nhận thấy một chiến dịch sử dụng mã độc được FireEye gọi là DADJOKE - chuyên săn lùng thông tin tình báo tại khu vực Đông Nam Á.
Các nhà nghiên cứu đã theo dõi việc sử dụng phần mềm độc hại này trong một số chiến dịch vào đầu năm để chống lại các tổ chức chính phủ, quân đội và ngoại giao ở khu vực Đông Nam Á. Hoạt động mới nhất được phát hiện vào ngày 29/8/2018 liên quan đến một vài cá nhân làm việc cho tổ chức quân sự.
Ông Seongsu Park, nhà nghiên cứu bảo mật cấp cao tại Kaspersky cho biết: “Chúng tôi từng nhấn mạnh trong báo cáo APT quý 2 của mình rằng, các chiến dịch APT nói tiếng Hàn đang dành nhiều sự chú ý vào nhiều tổ chức khác nhau ở khu vực Đông Nam Á và Hàn Quốc. Đúng như dự đoán, chúng tôi đã theo dõi thấy một số hoạt động độc hại từ các nhóm APT nói tiếng Hàn và mã độc mới xuất hiện ở cả hai khu vực từ tháng 7 - 9 năm nay. Quan sát của chúng tôi cho thấy hầu hết chúng đều rất “khát” thông tin tình báo, cả về bí mật tài chính và địa chính trị”.