- Nhóm tin tặc Kimsuky của Triều Tiên đã thực hiện chiến dịch tấn công 8 giai đoạn mang tên "DEEP#GOSU" nhắm vào các tổ chức Hàn Quốc.
- Kimsuky sử dụng các tập tin LNK đính kèm email, tải xuống mã từ Dropbox và viết mã bằng PowerShell và VBScript để tiến hành tấn công.
- Mặc dù một số công cụ có thể bị phát hiện bởi phần mềm diệt virus, nhưng Kimsuky chủ động né tránh phát hiện bằng cách tắt công cụ bảo mật và thêm mã độc vào danh sách loại trừ.
- Giai đoạn đầu tiên thực thi khi người dùng mở tập tin LNK, tải xuống mã PowerShell từ Dropbox. Giai đoạn 2 tải thêm mã từ Dropbox và cài đặt TutClient RAT ở giai đoạn 3.
- Việc sử dụng Dropbox và Google giúp tránh bị phát hiện vì lưu lượng trông giống như truy cập bình thường.
- Các giai đoạn sau cài đặt mã thực thi ngẫu nhiên sau vài giờ để duy trì sự hiện diện. Giai đoạn cuối theo dõi hoạt động người dùng bằng keylogger.
- Tỷ lệ phát hiện của bảo mật máy trạm cho các giai đoạn đầu từ 5-45%, nhưng bảo mật mạng khó phát hiện các giai đoạn sau do sử dụng lưu lượng mã hóa, dịch vụ đám mây hợp pháp.
- Vụ tấn công đa hướng cho thấy lợi ích của việc có nhiều lớp bảo vệ. Chỉ dựa vào phần mềm diệt virus có thể không đủ.
📌 Nhóm tin tặc Kimsuky của Triều Tiên đã thực hiện chiến dịch tấn công 8 giai đoạn tinh vi mang tên "DEEP#GOSU" nhắm vào Hàn Quốc, lạm dụng các dịch vụ đám mây hợp pháp như Dropbox, Google và sử dụng nhiều kỹ thuật né tránh phát hiện. Vụ việc cho thấy tầm quan trọng của việc triển khai bảo mật nhiều lớp, không chỉ dựa vào một công cụ duy nhất.
https://www.darkreading.com/vulnerabilities-threats/north-korea-linked-group-level-multistage-cyberattack-on-south-korea