Triều Tiên bị nghi ngờ sử dụng lỗ hổng Zero-Day tấn công Hàn Quốc

Một vài mối đe dọa bắt nguồn từ Triều Tiên bị nghi ngờ đứng đằng sau vụ tấn công lợi dụng lỗ hổng zero-day trong bộ xử lý ngôn ngữ Hangul (HWP) của Hàn Quốc.

Hangul là một ứng dụng xử lý ngôn ngữ sử dụng rộng rãi trong chính phủ và cơ quan công cộng tại Hàn Quốc. Nhân tố độ hại đã phát hiện một lỗ hổng chưa được vá trong ứng dụng và sử dụng để tạo ra một tài liệu HWPX, thiết kế nhằm cài đăt một backdoor. Lỗ hổng gây ra bởi một lỗi logic trong thành phần HWP (CVE-2015-6585) cho phép tin tặc đưa vào và thực thi dữ liệu độc hại trên hệ thống. Lỗ hổng đã được vá vào ngày 7/9 vừa qua.

Theo báo cáo của FireEye, tài liệu độc hại được thiết kế cài đặt malware “Hangman”. Nó có khả năng thu thập thông tin hệ thống, upload và download các tệp tin khác. Các nhà nghiên cứu tìm ra một vài đầu mối cho thấy Triều Tiên liên quan đến vụ tấn công. Một trong những địa chỉ IP điều khiển (C&C) của vụ tấn công đã được sử dụng trước đó bởi malware Macktruck – được tìm thấy từ tháng 4 năm 2015 từ Triều Tiên.

Một trong những chứng cứ khác là sự tương đồng giữa các chức năng sử dụng bởi Hangman và những dòng malware liên quan đến nhóm tin tặc Triều Tiên như Peachpit backdoor. Điều này chứng tỏ chúng có cùng nhà phát triển hoặc ít nhất sử dụng code giống nhau.

Triều Tiên thường xuyên bị nghi ngờ trong các cuộc tấn công không gian mạng trước Hàn Quốc. Vào năm 2013, Seoul cáo buộc Bình Nhưỡng thực hiện tấn công vào hệ thống tài chính, truyền hình và các tổ chức chính phủ. Tháng 3 năm 2014, Triều Tiên bị cáo buộc thực hiện đánh cắp dữ liệu nhạy cảm từ cơ quan quốc phòng Hàn Quốc và sau đó Cơ quan Tình báo Hàn Quốc báo cáo Triều Tiên xâm nhập gần 20,000 điện thoại. Gần đây nhất là vụ việc tấn công liên quan đến hoạt động hạt nhân. Triều Tiên phủ nhận hoàn toàn trách nhiệm trước các cáo buộc.

securityweek

 

Bình luận

Từ khóa: