-
09/04/2020
-
122
-
1.442 bài viết
Chiến dịch Evasive Panda đầu độc DNS, phát tán mã độc MgBot suốt gần hai năm
Một chiến dịch tấn công mạng có quy mô lớn và mức độ tinh vi cao vừa được các chuyên gia an ninh mạng quốc tế phanh phui, cho thấy cách các nhóm tin tặc có chủ đích vẫn âm thầm hoạt động trong thời gian dài mà không bị phát hiện. Đứng sau chiến dịch này là Evasive Panda, một nhóm tấn công APT, đã lợi dụng kỹ thuật đầu độc DNS và tấn công trung gian để phát tán dòng mã độc gián điệp MgBot trong suốt gần hai năm.
Chiến dịch cho thấy xu hướng tấn công ngày càng tinh vi, kết hợp cả thao túng hạ tầng mạng và lạm dụng cơ chế bảo mật hợp pháp của hệ điều hành, đặt ra rủi ro nghiêm trọng cho người dùng cá nhân lẫn các tổ chức, doanh nghiệp.
Evasive Panda là ai và hoạt động ở đâu?
Evasive Panda, còn được biết đến với các tên gọi khác như Bronze Highland, Daggerfly hay StormBamboo, là một nhóm APT được giới nghiên cứu an ninh mạng theo dõi từ năm 2012. Nhóm này thường tập trung vào các hoạt động gián điệp mạng dài hạn, thay vì tấn công ồ ạt để kiếm lợi nhuận nhanh.
Theo các phát hiện mới nhất, chiến dịch lần này của Evasive Panda được duy trì âm thầm từ tháng 11/2022 đến tháng 11/2024, nhắm vào các nạn nhân tại Trung Quốc, Ấn Độ và Thổ Nhĩ Kỳ, trải rộng trên nhiều lĩnh vực khác nhau.
Theo các phát hiện mới nhất, chiến dịch lần này của Evasive Panda được duy trì âm thầm từ tháng 11/2022 đến tháng 11/2024, nhắm vào các nạn nhân tại Trung Quốc, Ấn Độ và Thổ Nhĩ Kỳ, trải rộng trên nhiều lĩnh vực khác nhau.
Chiến dịch bị phát hiện như thế nào?
Các nhà nghiên cứu an ninh mạng đã phát hiện hoạt động bất thường khi phân tích các mẫu phần mềm cập nhật giả mạo. Điều đáng chú ý là mã độc không được phát tán qua các tệp lạ hay email lừa đảo quen thuộc mà còn được ngụy trang dưới dạng các bản cập nhật phần mềm hợp pháp của những ứng dụng quen thuộc với người dùng.
Các phần mềm bị lợi dụng bao gồm: SohuVA, iQIYI Video, IObit Smart Defrag và Tencent QQ đều là những ứng dụng phổ biến, khiến người dùng gần như không có lý do để nghi ngờ.
Các phần mềm bị lợi dụng bao gồm: SohuVA, iQIYI Video, IObit Smart Defrag và Tencent QQ đều là những ứng dụng phổ biến, khiến người dùng gần như không có lý do để nghi ngờ.
Thủ đoạn tấn công: từ đầu độc DNS đến chiếm quyền hệ thống
Trọng tâm của chiến dịch nằm ở việc đầu độc DNS. Thay vì xâm nhập trực tiếp vào máy chủ của nhà cung cấp phần mềm, kẻ tấn công can thiệp vào quá trình phân giải tên miền, khiến máy tính nạn nhân bị chuyển hướng đến máy chủ do tin tặc kiểm soát khi kiểm tra cập nhật.
Một ví dụ điển hình là tệp "sohuva_update_10.2.29.1-lup-s-tp.exe" giả mạo bản cập nhật chính thức của Sohu Inc. Tệp này tải mã độc từ một tên miền cập nhật đã bị thao túng, trong khi người dùng vẫn tin rằng mình đang tải phần mềm an toàn.
Sau khi được thực thi, mã độc khởi chạy một loader viết bằng C++, được thiết kế tinh vi để né tránh phân tích. Cấu hình của loader được mã hóa, dữ liệu được nén bằng thuật toán LZMA, còn các chuỗi quan trọng như tên tiến trình hay người dùng đều bị che giấu. Mã độc tiếp tục giải mã nhiều lớp shellcode và sử dụng các kỹ thuật nâng cao để chạy trực tiếp trong bộ nhớ, tránh để lại dấu vết trên ổ đĩa.
Ở các giai đoạn tiếp theo, hệ thống bị nhiễm sẽ tải thêm payload được ngụy trang dưới dạng ảnh PNG từ các tên miền bị giả mạo. Đáng chú ý, payload này được thiết kế riêng cho từng phiên bản Windows, cho thấy kẻ tấn công có khả năng lựa chọn mục tiêu rất chính xác. Trong một số trường hợp, mã độc macOS (Macma) cũng có thể được triển khai.
Toàn bộ quá trình sử dụng kết hợp các cơ chế mã hóa hợp pháp của Windows như DPAPI cùng thuật toán RC5, khiến payload chỉ có thể giải mã và chạy trên đúng máy nạn nhân, làm tăng đáng kể độ khó khi phân tích và điều tra.
Một ví dụ điển hình là tệp "sohuva_update_10.2.29.1-lup-s-tp.exe" giả mạo bản cập nhật chính thức của Sohu Inc. Tệp này tải mã độc từ một tên miền cập nhật đã bị thao túng, trong khi người dùng vẫn tin rằng mình đang tải phần mềm an toàn.
Sau khi được thực thi, mã độc khởi chạy một loader viết bằng C++, được thiết kế tinh vi để né tránh phân tích. Cấu hình của loader được mã hóa, dữ liệu được nén bằng thuật toán LZMA, còn các chuỗi quan trọng như tên tiến trình hay người dùng đều bị che giấu. Mã độc tiếp tục giải mã nhiều lớp shellcode và sử dụng các kỹ thuật nâng cao để chạy trực tiếp trong bộ nhớ, tránh để lại dấu vết trên ổ đĩa.
Ở các giai đoạn tiếp theo, hệ thống bị nhiễm sẽ tải thêm payload được ngụy trang dưới dạng ảnh PNG từ các tên miền bị giả mạo. Đáng chú ý, payload này được thiết kế riêng cho từng phiên bản Windows, cho thấy kẻ tấn công có khả năng lựa chọn mục tiêu rất chính xác. Trong một số trường hợp, mã độc macOS (Macma) cũng có thể được triển khai.
Toàn bộ quá trình sử dụng kết hợp các cơ chế mã hóa hợp pháp của Windows như DPAPI cùng thuật toán RC5, khiến payload chỉ có thể giải mã và chạy trên đúng máy nạn nhân, làm tăng đáng kể độ khó khi phân tích và điều tra.
Mã độc MgBot và mức độ nguy hiểm
Cuối chuỗi tấn công, MgBot (dòng mã độc gián điệp quen thuộc của Evasive Panda) được tiêm vào các tiến trình hợp pháp như "svchost.exe" để hoạt động âm thầm. MgBot cho phép kẻ tấn công duy trì quyền truy cập lâu dài, thu thập dữ liệu và điều khiển hệ thống từ xa.
Hạ tầng máy chủ điều khiển (C2) được ghi nhận bao gồm nhiều địa chỉ IP khác nhau, với dữ liệu cho thấy kẻ tấn công có thể duy trì quyền kiểm soát nạn nhân suốt hơn hai năm mà không bị phát hiện.
Hạ tầng máy chủ điều khiển (C2) được ghi nhận bao gồm nhiều địa chỉ IP khác nhau, với dữ liệu cho thấy kẻ tấn công có thể duy trì quyền kiểm soát nạn nhân suốt hơn hai năm mà không bị phát hiện.
Ảnh hưởng và rủi ro đối với người dùng
Chiến dịch này đặt ra rủi ro nghiêm trọng vì nó phá vỡ niềm tin vào cơ chế cập nhật phần mềm, vốn được xem là lớp bảo vệ quan trọng nhất. Người dùng và tổ chức có thể bị xâm nhập ngay cả khi tuân thủ các khuyến nghị bảo mật thông thường.
Rủi ro bao gồm:
Rủi ro bao gồm:
- Bị theo dõi, thu thập dữ liệu nhạy cảm trong thời gian dài
- Lộ thông tin nội bộ, tài liệu doanh nghiệp hoặc dữ liệu cá nhân
- Máy tính bị biến thành điểm trung chuyển cho các cuộc tấn công khác
- Khó phát hiện và xử lý do mã độc hoạt động hoàn toàn trong bộ nhớ
Khuyến nghị từ chuyên gia an ninh mạng
Các chuyên gia an ninh mạng nhận định rằng những chiến dịch như của Evasive Panda cho thấy tấn công ở tầng hạ tầng mạng đang trở thành xu hướng nguy hiểm mới. Để giảm thiểu rủi ro, người dùng và tổ chức cần:
- Sử dụng DNS tin cậy, có hỗ trợ bảo mật và giám sát bất thường
- Triển khai giải pháp giám sát lưu lượng mạng và phát hiện hành vi APT
- Kiểm tra chữ ký số và nguồn tải của các bản cập nhật phần mềm
- Cập nhật hệ điều hành và phần mềm bảo mật thường xuyên
- Với doanh nghiệp, cần xây dựng quy trình phát hiện xâm nhập kéo dài (long-term intrusion detection)
Chiến dịch của Evasive Panda cho thấy các nhóm APT hiện nay không chỉ khai thác lỗ hổng phần mềm mà còn thao túng cả hạ tầng mạng và cơ chế bảo mật hợp pháp để che giấu hoạt động. Việc duy trì tấn công âm thầm trong suốt hai năm cho thấy mức độ kiên nhẫn và tinh vi đáng báo động. Trong kỷ nguyên số, an ninh mạng không chỉ là cài phần mềm diệt virus mà đòi hỏi cách tiếp cận toàn diện từ hạ tầng mạng, quy trình vận hành đến nhận thức an toàn thông tin.
WhiteHat