-
06/07/2013
-
796
-
1.304 bài viết
Tin tặc Trung Quốc tấn công nhắm vào quân đội và chính phủ Việt Nam
Một chiến dịch gián điệp mạng nhắm vào các tổ chức chính phủ và quân đội ở Việt Nam vừa bị phát hiện có nguồn gốc từ Trung Quốc.
Các cuộc tấn công APT (Advanced Persistent Threat) có liên quan đến nhóm Cycldek (tên khác là Goblin Panda, Hellsing, APT 27, Conimes), vốn được biết đến với việc sử dụng các kỹ thuật spear-phishing nhắm vào các mục tiêu ngoại giao ở Đông Nam Á, Ấn Độ và Hoa Kỳ ít nhất kể từ năm 2013.
Theo các nhà nghiên cứu từ Kaspersky, cuộc tấn công được quan sát từ tháng 6 năm 2020 đến tháng 1 năm 2021, sử dụng một phương pháp được gọi là DLL side-loading để thực thi shellcode giải mã tải trọng cuối cùng có tên "FoundCore".
DLL side-loading là một kỹ thuật đã được sử dụng như một chiến thuật làm rối để qua mặt phần mềm diệt virus. Bằng cách load các tệp DLL độc hại vào các tệp thực thi hợp lệ, nhằm che giấu hoạt động độc hại của chúng trong một hệ thống hoặc phần mềm đáng tin cậy.
Trong chuỗi lây nhiễm tiết lộ bởi Kaspersky, một thành phần hợp pháp từ Microsoft Outlook tải một thư viện độc hại có tên "outlib.dll", bằng cách "chiếm đoạt luồng thực thi dự định của chương trình để giải mã và chạy shellcode được đặt trong tệp nhị phân, rdmin.src."
Hơn nữa, mã độc đi kèm với một lớp bổ sung được thiết kế nhằm gây khó khăn cho việc phân tích và reverse-engineer. Để đạt được điều này, hacker được cho là đã xóa hầu hết header của payload, trong khi để lại phần còn lại với các giá trị không mạch lạc.
Kaspersky cho biết phương pháp này "báo hiệu một bước tiến lớn về sự tinh vi của những kẻ tấn công trong lĩnhvực này".
Bên cạnh việc cung cấp cho những kẻ tấn công toàn quyền kiểm soát thiết bị bị xâm nhập, FoundCore còn có khả năng thực thi các lệnh thao tác với tệp, tiến trình, chụp ảnh màn hình, và thực thi lệnh tùy ý. Sự lây nhiễm liên quan đến FoundCore cũng được tìm thấy tải xuống thêm hai mã độc. Thứ nhất là DropPhone, thu thập thông tin liên quan đến môi trường từ máy nạn nhân và trích xuất nó sang DropBox, thứ hai là CoreLoader thực thi mã cho phép mã độc cản trở sự phát hiện của các sản phẩm bảo mật.
Các cuộc tấn công được cho là bắt nguồn từ một chiến dịch spear-phishing hoặc lây nhiễm từ trước, kích hoạt việc tải xuống các tài liệu RTF giả mạo từ một trang web giả mạo, cuối cùng dẫn đến việc triển khai FoundCore.
Trong số hàng chục tổ chức bị ảnh hưởng, 80% trong số đó có trụ sở tại Việt Nam và thuộc khối chính phủ hoặc quân đội, hoặc có liên quan đến y tế, ngoại giao, giáo dục, hoặc các ngành dọc chính trị, với các nạn nhân khác, đôi khi được phát hiện ở Trung Á và Thái Lan.
Các nhà nghiên cứu kết luận: “Bất kể nhóm nào đứng sau chiến dịch này, nó đã tạo thành một bước tiến đáng kể về độ tinh vi”.
"Và điều này báo hiệu rằng các nhóm này có thể đang tìm cách mở rộng hoạt động của mình. Hiện tại, có vẻ như chiến dịch này mang tính chất đe dọa cục bộ nhiều hơn, nhưng rất có thể backdoor FoundCore sẽ được tìm thấy ở nhiều quốc gia hơn trong các khu vực khác nhau trong tương lai", nhà nghiên cứu bảo mật cấp cao của Kaspersky, Mark Lechtik cho biết.
Thehackernews
Chỉnh sửa lần cuối bởi người điều hành: