Home / Sharenewshort / Phân Tích Chiến Dịch Tấn Công “Triple Combo” của Nhóm Kimsuky Qua Facebook, Email và Telegram

Phân Tích Chiến Dịch Tấn Công “Triple Combo” của Nhóm Kimsuky Qua Facebook, Email và Telegram

By
Không có bình luận
10 Tháng 6, 2025 12:47 sáng

Dự án “Triple Combo” được Genians Security Center (GSC) công bố phân tích chi tiết về một chiến dịch tấn công APT (Advanced Persistent Threat) tinh vi, sử dụng ba kênh giao tiếp phối hợp gồm Facebook, email và Telegram để tấn công các mục tiêu tại Hàn Quốc từ tháng 3 đến tháng 4 năm 2025. Chiến dịch này được xác định có liên quan đến nhóm hacker nhà nước Kimsuky, nổi tiếng với các cuộc tấn công nhằm vào các cá nhân liên quan đến hoạt động phòng thủ và các nhà hoạt động về vấn đề Triều Tiên[1].

Tổng Quan Dự Án

  • Chiến dịch sử dụng chiến thuật xâm nhập ngầm qua ba kênh liên lạc: Facebook, email và Telegram.
  • Kẻ tấn công dụ dỗ mục tiêu bằng nội dung giả mạo liên quan đến hoạt động tình nguyện hỗ trợ người đào tẩu Triều Tiên, từ đó gửi các tập tin độc hại.
  • Các tập tin độc hại được mã hóa và nén theo định dạng đặc thù của Hàn Quốc (EGG ALZIP) nhằm né tránh các hệ thống bảo mật.
  • Chiến dịch được xác định là một phần của chiến dịch “AppleSeed” do nhóm Kimsuky thực hiện.
  • Phương pháp phát hiện và xử lý dựa trên công nghệ EDR (Endpoint Detection and Response) được đề xuất để tăng khả năng nhận diện mối đe dọa[1].

Các Phần Chính và Điểm Nổi Bật

1. Bối cảnh và Nhóm Tấn Công

Nhóm Kimsuky là một nhóm hacker nhà nước liên quan Triều Tiên, hoạt động mạnh tại Hàn Quốc, sử dụng ba công cụ chính trong các cuộc tấn công:

  • AppleSeed
  • BabyShark (RandomQuery)
  • FlowerPower (GoldDragon)

Các tệp độc hại thường là các tập tin thực thi hoặc script (JSE, WSF, JS), thường sử dụng mã hóa Base64 để ẩn nội dung độc hại. Đặc biệt, các tập tin được nén theo định dạng EGG ALZIP và kèm theo hướng dẫn sử dụng công cụ giải nén cụ thể nhằm tránh bị phát hiện trên thiết bị di động[1].

2. Chiến Thuật Tấn Công “Triple Combo”

Facebook-Based Attack

  • Kẻ tấn công sử dụng tài khoản Facebook giả danh “Transitional Justice Mission” để gửi lời mời kết bạn và tin nhắn trực tiếp đến các cá nhân liên quan đến hoạt động về Triều Tiên.
  • Giả danh nhà nghiên cứu hoặc nhà truyền giáo, họ tiếp cận mục tiêu qua Facebook Messenger và gửi tập tin độc hại dưới dạng file nén EGG có mật khẩu.
  • Một tài khoản Facebook khác cũng bị chiếm dụng, chủ nhân giả định là cựu học viên Học viện Không quân Hàn Quốc, dùng để tăng độ tin cậy.
  • Nội dung tin nhắn giả vờ hỏi thăm về hoạt động tình nguyện hỗ trợ người đào tẩu Triều Tiên nhằm tạo sự tin tưởng[1].

Email-Based Attack

  • Sau khi lấy được email từ các cuộc trò chuyện trên Facebook, kẻ tấn công gửi email chứa tập tin độc hại tương tự.
  • Các tập tin cũng được nén theo định dạng EGG và yêu cầu sử dụng công cụ giải nén trên PC, tránh thiết bị di động.
  • Phong cách ngôn ngữ trong tin nhắn có dấu hiệu là người bản địa hoặc người rất thông thạo tiếng Hàn, không phải do AI hay dịch máy tạo ra[1].

Telegram-Based Attack

  • Nếu kẻ tấn công có được số điện thoại của mục tiêu, họ tiếp tục liên hệ qua Telegram.
  • Chiến thuật đa kênh này thể hiện sự kiên trì và linh hoạt trong việc khai thác các nền tảng mạng xã hội và nhắn tin để tăng khả năng thành công[1].

3. Phân Tích Mã Độc

Tập tin ‘탈북민지원봉사활동.jse’ (Defector Volunteer Support.jse)

  • Là tập tin script JScript (.jse) chạy trên Windows Script Host, được mã hóa và obfuscate.
  • Khi chạy, tập tin tạo ra hai file: một file PDF giả mạo để đánh lừa người dùng và một file DLL độc hại thực hiện hành vi nguy hại.
  • File DLL được mã hóa Base64 hai lớp, giải mã qua PowerShell và được thực thi bằng regsvr32.exe với tham số đặc biệt để tránh bị phát hiện[1].

File DLL ‘vmZMXSx.eNwm’

  • DLL được đóng gói bằng VMProtect, một công cụ bảo vệ mã nhằm chống phân tích và đảo ngược.
  • DLL thực hiện kiểm tra tham số đầu vào, giải mã dữ liệu bằng phương pháp XOR, tạo file tạm thời và giải nén file ZIP chứa mã độc.
  • Thiết lập tự động khởi động qua registry Windows để duy trì sự tồn tại lâu dài trên hệ thống.
  • Cuối cùng, DLL được thực thi ẩn và các file tạm được xóa để tránh bị phát hiện[1].

4. Bảng Thông Tin PDB Path của Malware AppleSeed

No Bit PDB Path
1 32 F:\PC_Manager\Utopia_v0.1\bin\AppleSeed.pdb
64 64 F:\PC_Manager\Utopia_v0.1\bin\AppleSeed64.pdb
2 32 E:\works\utopia\Utopia_v0.2\bin\AppleSeed.pdb
64 64 E:\works\utopia\Utopia_v0.2\bin\AppleSeed64.pdb

5. Lợi Ích Thực Tiễn và Bài Học Rút Ra

  • Chiến dịch “Triple Combo” cho thấy tầm quan trọng của việc cảnh giác với các cuộc tấn công đa kênh, phối hợp qua nhiều nền tảng mạng xã hội và email.
  • Việc sử dụng định dạng nén đặc thù và mã hóa phức tạp nhằm né tránh các hệ thống bảo mật truyền thống, đòi hỏi các tổ chức phải áp dụng công nghệ EDR và threat hunting nâng cao để phát hiện sớm.
  • Người dùng cần thận trọng với các tập tin và đường link không rõ nguồn gốc, đặc biệt khi được gửi qua các kênh giao tiếp cá nhân như Messenger hay Telegram.
  • Phân tích sâu về mã độc giúp các chuyên gia an ninh mạng hiểu rõ hơn về kỹ thuật tấn công và phát triển các biện pháp phòng chống hiệu quả hơn[1].

Source link: https://www.genians.co.kr/en/blog/threat_intelligence/triple-combo

Current date: Tuesday, June 10, 2025, 12:42 AM +07

bugineverything

Related Posts

29 Tháng 6, 2025

Leave a Reply

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *