-
30/08/2016
-
317
-
446 bài viết
Chiến dịch APT10 của hacker Trung Quốc khai thác Zerologon nhắm vào các tổ chức Nhật Bản
Các chuyên gia đã phát hiện một nhóm hacker do Trung Quốc chống lưng đang cố gắng khai thác lỗ hổng Windows Zerologon nhằm vào các tập đoàn lớn ở Nhật Bản và các công ty con thuộc nhiều lĩnh vực công nghiệp ở 17 quốc gia khác trên toàn thế giới.
Chiến dịch gián điệp mạng toàn cầu này được cho là do nhóm tin tặc APT10 được nhà nước Trung Quốc “hậu thuẫn” dựa trên thông tin được thu thập bởi Symantec's Threat Hunter chuyên theo dõi các cuộc tấn công trên khắp thế giới. Các cuộc tấn công được phát hiện khi các chuyên gia nhận thấy những hoạt động bất thường của các tập tin DLL trên mạng của khách hàng.
Mục tiêu của chiến dịch
Nhóm APT10 đã thực hiện chiến dịch này trong gần một năm, từ giữa tháng 10/2019 đến đầu tháng 10/2020. Trong một số trường hợp, APT10 vẫn hoạt động và không bị phát hiện trong mạng của nạn nhân trong gần cả năm cho thấy mức độ tinh vi và hiệu quả của nhóm này trong việc che giấu hoạt động độc hại.
Symantec giải thích: “Các công ty bị tấn công thuộc các công ty tài chính lớn và nổi tiếng, nhiều công ty có liên kết với Nhật Bản hoặc các công ty Nhật Bản. Đây cũng là một trong nhiều nhân tố để kết nối các nạn nhân với nhau”.
Bản đồ thể hiện các cuộc tấn công cho thấy APT10 cũng nhắm vào các công ty bên trong lãnh thổ Trung Quốc có mối liên hệ với công ty Nhật Bản.
Về kỹ thuật tấn công, các nhà nghiên cứu của Symantec đề cập đến quá trình phát tán các payload mã độc trong mạng mục tiêu. Họ cũng tìm được các bằng chứng việc sử dụng các kỹ thuật obfuscation, các công cụ và kỹ thuật living-off-the-land và cả backdoor QuasarRAT để cùng nhắm vào nhiều tổ chức.
Nhóm tin tặc APT10 khai thác Zerologon để đánh cắp thông tin đăng nhập domain và toàn quyền kiểm soát toàn bộ domain sau khi khai thác thành công các thiết bị tồn tại lỗ hổng.
Lỗ hổng này cũng bị khai thác tích cực trong các cuộc tấn công của nhóm hack MuddyWater do Iran hậu thuẫn (còn gọi là SeedWorm và MERCURY) bắt đầu từ nửa cuối tháng 9 và nhóm tin tặc TA505 (Chimborazo).
Hacker Trung Quốc tập trung vào các tổ chức lớn trên thế giới
APT10 (còn được gọi là Menupass, Stone Panda, Cloud Hopper) có thể đã bắt đầu hoạt động từ năm 2009 và từng nhắm mục tiêu đến các tổ chức chính phủ và công ty tư nhân từ Hoa Kỳ, Châu Âu và Nhật Bản.
Mục tiêu của chiến dịch
Nhóm APT10 đã thực hiện chiến dịch này trong gần một năm, từ giữa tháng 10/2019 đến đầu tháng 10/2020. Trong một số trường hợp, APT10 vẫn hoạt động và không bị phát hiện trong mạng của nạn nhân trong gần cả năm cho thấy mức độ tinh vi và hiệu quả của nhóm này trong việc che giấu hoạt động độc hại.
Symantec giải thích: “Các công ty bị tấn công thuộc các công ty tài chính lớn và nổi tiếng, nhiều công ty có liên kết với Nhật Bản hoặc các công ty Nhật Bản. Đây cũng là một trong nhiều nhân tố để kết nối các nạn nhân với nhau”.
Bản đồ thể hiện các cuộc tấn công cho thấy APT10 cũng nhắm vào các công ty bên trong lãnh thổ Trung Quốc có mối liên hệ với công ty Nhật Bản.
Về kỹ thuật tấn công, các nhà nghiên cứu của Symantec đề cập đến quá trình phát tán các payload mã độc trong mạng mục tiêu. Họ cũng tìm được các bằng chứng việc sử dụng các kỹ thuật obfuscation, các công cụ và kỹ thuật living-off-the-land và cả backdoor QuasarRAT để cùng nhắm vào nhiều tổ chức.
Nhóm tin tặc APT10 khai thác Zerologon để đánh cắp thông tin đăng nhập domain và toàn quyền kiểm soát toàn bộ domain sau khi khai thác thành công các thiết bị tồn tại lỗ hổng.
Lỗ hổng này cũng bị khai thác tích cực trong các cuộc tấn công của nhóm hack MuddyWater do Iran hậu thuẫn (còn gọi là SeedWorm và MERCURY) bắt đầu từ nửa cuối tháng 9 và nhóm tin tặc TA505 (Chimborazo).
Hacker Trung Quốc tập trung vào các tổ chức lớn trên thế giới
APT10 (còn được gọi là Menupass, Stone Panda, Cloud Hopper) có thể đã bắt đầu hoạt động từ năm 2009 và từng nhắm mục tiêu đến các tổ chức chính phủ và công ty tư nhân từ Hoa Kỳ, Châu Âu và Nhật Bản.
- Nhóm này tập trung đánh cắp thông tin quân sự, tình báo và kinh doanh từ các mục tiêu bị xâm nhập và thường xuyên tấn công vào Nhật Bản.
- Chính phủ Hoa Kỳ đã truy tố hai tin tặc APT10 vào tháng 12/2018, cho thấy nhóm này đã xâm nhập thành công Phòng thí nghiệm Sức đẩy Phản lực của NASA, các cơ quan Chính phủ Hoa Kỳ, các nhà cung cấp dịch vụ được quản lý (MSP) - bao gồm IBM và Hewlett Packard Enterprise
- Nhóm đã xâm nhập hệ thống của Bộ Hải quân Hoa Kỳ để lấy cắp thông tin bí mật của hơn 100.000 cá nhân.
- Tất cả các quốc gia trong Liên minh Tình báo Five Eyes (Hoa Kỳ, Canada, Anh, New Zealand và Úc) đã đưa ra tuyên bố quy kết tội trộm cắp dữ liệu thương mại nhạy cảm và sở hữu trí tuệ cho nhóm tin tặc tấn công có chủ đích (APT) của Trung Quốc.
- Takeshi Osuga, Thư ký báo chí Bộ Ngoại giao Nhật Bản, cho biết "Nhật Bản đã xác định các cuộc tấn công liên tục của nhóm được gọi là APT10 nhằm vào các mục tiêu trong nước ... và kiên quyết lên án cuộc tấn công như vậy".
- Kể từ tháng 6/2020, một số tổ chức Nhật Bản khác cũng bị xâm phạm mạng lưới, bao gồm nhưng không giới hạn ở các tập đoàn, trường đại học và một bộ không được tiết lộ của Nhật Bản. Quyền truy cập này có thể rất dễ dàng bị các băng đảng ransomware sử dụng để mua chuộc và mã hóa hệ thống.
Tham khảo bleepingcomputer.com
Bài viết liên quan: