Kimsuky, một nhóm mối đe dọa kiên trì nâng cao (APT) từ Bắc Triều Tiên, đã được quan sát sử dụng một phần mềm độc hại tùy chỉnh gọi là RandomQuery như một phần của hoạt động trinh sát và trích xuất thông tin. Theo các nhà nghiên cứu từ SentinelOne, cuộc tấn công chủ yếu nhắm vào các dịch vụ thông tin và các tổ chức hỗ trợ những nhà hoạt động nhân quyền và người tị nạn Bắc Triều Tiên.
Kimsuky đã hoạt động từ năm 2012 và đã được quan sát sử dụng nhiều loại phần mềm độc hại, bao gồm một chương trình trinh sát khác gọi là ReconShark. Cụm hoạt động mới nhất liên quan đến nhóm bắt đầu vào ngày 5 tháng 5 năm 2023, và sử dụng một biến thể của RandomQuery được thiết kế để xác định các tệp và trích xuất dữ liệu nhạy cảm.
RandomQuery, FlowerPower và AppleSeed là một số công cụ được sử dụng phổ biến nhất trong kho vũ khí của nhóm APT. Các cuộc tấn công bắt đầu với các email phishing chứa một tệp Microsoft Compiled HTML Help (CHM), cũng đã được sử dụng như một mồi nhử bởi một diễn viên quốc gia Bắc Triều Tiên khác được gọi là ScarCruft.
Khi tệp CHM được mở, một Script Visual Basic được thực thi, gửi một yêu cầu HTTP GET đến máy chủ từ xa để tải xuống payload giai đoạn thứ hai, một phiên bản RandomQuery của VBScript. Sau đó, phần mềm độc hại thu thập metadata hệ thống, các quy trình đang chạy, các ứng dụng đã cài đặt và các tệp từ các thư mục khác nhau, sau đó được gửi trở lại máy chủ điều khiển và kiểm soát (C2).
Các nhà nghiên cứu lưu ý rằng phương pháp tiếp cận nhất quán của Kimsuky trong việc cung cấp phần mềm độc hại thông qua các tệp CHM cho thấy cảnh quan thay đổi liên tục của các nhóm mối đe dọa Bắc Triều Tiên, các hoạt động của họ bao gồm không chỉ gián điệp chính trị mà còn cả phá hoại và mối đe dọa tài chính.
Ngoài ra, nhóm APT cũng đã được liên kết với các cuộc tấn công tận dụng các máy chủ Windows Internet Information Services (IIS) dễ bị tổn thương để triển khai khung công việc sau khai thác Metasploit Meterpreter.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.