Gián điệp mạng Triều Tiên mua lại lỗ hổng zero-day để tấn công Hàn Quốc

Thứ sáu, 09/02/2018, 10:22 (GMT+7) 0 Phản hồi

(Không gian mạng) - Theo nguồn tin của đội nghiên cứu và phân tích toàn cầu hãng bảo mật Kaspersky Lab (Nga), nhóm gián điệp mạng Group 123 (Triều Tiên) có thể đã mua lại lỗ hổng zero-day CVE-2018-4878 trong Adobe Flash để khai thác trong các cuộc tấn công Hàn Quốc gần đây.

zero-day

Nhóm gián điệp mạng Group 123, còn có tên là ScarCruft hay Reaper, hoạt động từ tháng 06/2016, từng khai thác một lỗ hổng tương tự khác (CVE-2016-4171) trong Flash cho phép thực thi code từ xa, nhắm mục tiêu tổ chức Hàn Quốc trong thời gian bầu cử năm 2017. Được Kaspersky đặt tên là Operation Daybreak, chiến dịch bắt đầu bằng các email giả mạo chứa đường dẫn độc hại nhằm khai thác lỗ hổng trên máy nạn nhân.

Theo Kaspersky Lab, chiến dịch trên đã tấn công vào một hãng luật Châu Á, khách sạn Dubai, công ty tiền tệ và quảng cáo trên di động tại Mỹ, những công ty giao dịch lớn nhất thế giới tại Châu Á và các thành viên vủa Liên đoàn Điền kinh Quốc tế.

Vào thời điểm đó, Group 123 là một nhóm APT khá mới và thành tích không có gì nổi bật với các chiến dịch gián điệp và một vài cuộc tấn công phá hoại. Giám đốc đội nghiên cứu và phân tích toàn cầu của hãng Kaspersky, ông Costin Raiu cho biết: “Chúng tôi thấy nhóm này trong cuộc tấn công mới, và tôi phải nói thật nhạc nhiên về việc nó sử dụng lỗ hổng zero-day. Lỗ hổng Flash zero giờ không còn phổ biến nữa”. “Tôi không tin rằng nhóm này có thể tự mình phát triển một lỗ hổng zero day. Từ đó, tôi nghi ngờ nhóm này có thể đã truy cập vào tiền ảo, thứ cho phép họ mua lỗ hổng zero-day trên thị trường ngầm”, ông nhận định.

Theo điều tra của Kaspersky, ngày 31/01, Group 123 đã phát tán mã độc nhắm vào các nhà ngoại giao Hàn Quốc. Cùng ngày, Đội Ứng cứu máy tính khẩn cấp Hàn Quốc (KrCERT/CC) lần đầu trình báo về lỗ hổng zero-day trên phiên bản Flash Player ActiveX 28.0.0.137 và những phiên bản trước đó. Báo cáo của Adobe cũng cho biết lỗi CVE-2018-4878 là một lỗ hổng nằm trong khâu quản lý bộ nhớ (use-after-free) cho phép thực thi code từ xa.

Nhóm Talos thuộc hãng bảo mật Cisco (Mỹ) cũng báo cáo chi tiết về lỗ hổng này, xác định Group 123 là thủ phạm tạo ra công cụ quản trị từ xa nổi tiếng ROKRAT để tải vào máy nạn nhân bị khai thác lỗ hổng trên qua tài liệu Microsoft Excel.

Theo Rauin, Group 123 không thuộc nhóm tin tặc khét tiếng Lazarus, thủ phạm từng gây ra cuộc tấn công phá hoại hãng Sony và chiến dịch mã độc tống tiền WannaCry. Ông nói: “Lazarus có hàng trăm loại mã độc khác nhau với nhiều thủ đoạn tinh vi. Còn nhóm Group 123 hiện chỉ ở trình trung học”.

Lâm Quang Dũng (Lược dịch từ: Dark Reading)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@lethanhhai.net
Xem thêm: Lê Thanh Hải
  • Share on Link Hay!
  • Facebook
  • Twitter

Ban Biên Tập

Đọc tin mới qua Email:

Mọi ý kiến đóng góp xin gửi về địa chỉ
banbientap@lethanhhai.net

Facebook Lê Thanh Hải

Lê Thanh Hải
Lê Thanh Hải