Chiến dịch gián điệp nghi từ Trung Quốc âm thầm nhắm vào quân đội Đông Nam Á

[WhiteHat Team]

Một chiến dịch gián điệp mạng được cho là có liên hệ với Trung Quốc đã âm thầm nhắm vào các tổ chức quân sự tại Đông Nam Á trong nhiều năm qua, với mục tiêu thu thập thông tin tình báo có chọn lọc liên quan đến năng lực quốc phòng và hợp tác quân sự. Theo phân tích từ Palo Alto Networks, nhóm nghiên cứu Unit 42 đang theo dõi hoạt động này dưới định danh CL-STA-1087, trong đó “CL” đại diện cho một cụm hoạt động tấn công, còn “STA” cho thấy dấu hiệu liên quan đến động cơ được hậu thuẫn bởi nhà nước. Các nhà nghiên cứu cho biết chiến dịch thể hiện sự kiên nhẫn chiến thuật đáng chú ý khi kẻ tấn công tập trung tìm kiếm những tệp dữ liệu rất cụ thể liên quan đến cấu trúc tổ chức quân đội, năng lực tác chiến cũng như các hoạt động hợp tác với lực lượng vũ trang phương Tây, thay vì tiến hành đánh cắp dữ liệu quy mô lớn.
​

Phân tích cho thấy chiến dịch mang nhiều đặc điểm điển hình của các hoạt động APT, bao gồm phương thức triển khai được chuẩn bị kỹ lưỡng, hạ tầng điều khiển ổn định và việc sử dụng các payload tùy chỉnh nhằm duy trì quyền truy cập trái phép trong thời gian dài. Hoạt động này được phát hiện sau khi các nhà nghiên cứu ghi nhận một chuỗi thực thi PowerShell đáng ngờ trên hệ thống mục tiêu. Tập lệnh này được lập trình để rơi vào trạng thái ngủ trong sáu giờ trước khi thiết lập kết nối reverse shell tới máy chủ điều khiển của kẻ tấn công. Dù vậy, điểm truy cập ban đầu giúp tin tặc xâm nhập vào mạng lưới quân sự vẫn chưa được xác định rõ.

Sau khi xâm nhập thành công, kẻ tấn công tiến hành di chuyển ngang trong hệ thống và triển khai nhiều phiên bản của backdoor có tên AppleChris nhằm duy trì quyền truy cập lâu dài cũng như né tránh các cơ chế phát hiện dựa trên chữ ký. Trong quá trình hoạt động, chúng chủ động tìm kiếm các tài liệu liên quan đến biên bản họp chính thức, hoạt động quân sự chung và các đánh giá chi tiết về năng lực vận hành. Các nhà nghiên cứu nhận định tin tặc đặc biệt quan tâm đến những tài liệu liên quan đến hệ thống C4I - Command, Control, Communications, Computers and Intelligence, vốn đóng vai trò trung tâm trong việc điều hành và phối hợp tác chiến của lực lượng quân đội.

Các biến thể của AppleChris cùng với một backdoor khác có tên MemFun được thiết kế để truy cập vào một tài khoản chung trên Pastebin, nơi lưu trữ địa chỉ máy chủ điều khiển ở dạng mã hóa Base64. Cơ chế này biến Pastebin thành một “dead drop resolver”, cho phép mã độc truy xuất thông tin hạ tầng C2 một cách gián tiếp nhằm giảm khả năng bị phát hiện. Một số biến thể AppleChris còn có khả năng lấy địa chỉ C2 từ Dropbox, trong khi phương thức dựa trên Pastebin đóng vai trò dự phòng. Các bản ghi liên quan đến chiến dịch này trên Pastebin được xác định đã tồn tại từ tháng 9/2020.

AppleChris thường được khởi chạy thông qua kỹ thuật DLL hijacking và sau khi kết nối với máy chủ điều khiển, nó có thể thực thi nhiều lệnh từ xa như liệt kê ổ đĩa và thư mục, tải lên hoặc tải xuống tệp, xóa dữ liệu, liệt kê tiến trình hệ thống, thực thi shell từ xa cũng như khởi tạo các tiến trình ẩn. Một biến thể mới của công cụ này còn được bổ sung khả năng proxy mạng nâng cao, giúp che giấu lưu lượng và hỗ trợ duy trì kênh liên lạc ổn định giữa hệ thống bị xâm nhập và hạ tầng điều khiển. Theo phân tích của Unit 42, biến thể tunneler thứ hai được xem là phiên bản phát triển từ công cụ ban đầu khi chỉ sử dụng Pastebin để truy xuất địa chỉ máy chủ C2. Ngoài ra, một số biến thể malware trong chiến dịch còn tích hợp cơ chế né tránh sandbox bằng cách trì hoãn thực thi thông qua bộ hẹn giờ ngủ 30 giây đối với tệp EXE và 120 giây đối với DLL, qua đó giúp mã độc vượt qua các cửa sổ giám sát ngắn thường được các hệ thống phân tích tự động sử dụng.

Bên cạnh AppleChris, nhóm tấn công cũng triển khai một nền tảng backdoor khác có tên MemFun với kiến trúc nhiều giai đoạn. Chuỗi lây nhiễm bắt đầu bằng một loader ban đầu có nhiệm vụ nạp shellcode, từ đó kích hoạt một trình tải hoạt động hoàn toàn trong bộ nhớ. Thành phần này sẽ truy cập Pastebin để lấy thông tin cấu hình máy chủ C2, sau đó kết nối tới hạ tầng điều khiển và tải về một DLL dùng để khởi chạy backdoor. Do DLL được tải động trong quá trình thực thi, kẻ tấn công có thể dễ dàng thay đổi hoặc bổ sung payload mới mà không cần chỉnh sửa phần mềm độc hại ban đầu, biến MemFun trở thành một nền tảng malware dạng module thay vì một backdoor tĩnh.
​

Trong giai đoạn thực thi, dropper của MemFun còn tiến hành nhiều bước nhằm tránh bị phát hiện và gây khó khăn cho quá trình điều tra. Mã độc thực hiện các kiểm tra chống phân tích, sau đó chỉnh sửa timestamp của tệp để trùng với thời điểm tạo của thư mục hệ thống Windows. Tiếp theo, payload chính được tiêm vào bộ nhớ của một tiến trình dllhost.exe đang ở trạng thái tạm dừng bằng kỹ thuật process hollowing, cho phép mã độc chạy dưới vỏ bọc của một tiến trình hợp pháp và hạn chế để lại dấu vết trên ổ đĩa.

Nhóm tấn công cũng sử dụng một phiên bản tùy chỉnh của công cụ nổi tiếng Mimikatz có tên Getpass để leo thang đặc quyền và trích xuất thông tin xác thực từ bộ nhớ của tiến trình lsass.exe. Công cụ này có khả năng thu thập mật khẩu dạng plaintext, NTLM hash cùng nhiều dữ liệu xác thực khác, từ đó giúp tin tặc mở rộng quyền kiểm soát trong hệ thống và tiếp tục di chuyển sang các máy khác trong mạng nội bộ.

Theo Unit 42, toàn bộ hoạt động cho thấy mức độ kiên nhẫn và kỷ luật vận hành cao, khi kẻ tấn công sẵn sàng duy trì quyền truy cập ẩn trong hệ thống nạn nhân suốt nhiều tháng, đồng thời tập trung vào việc thu thập thông tin tình báo có giá trị chiến lược thay vì thực hiện các hành vi phá hoại hoặc đánh cắp dữ liệu quy mô lớn. Các biện pháp che giấu hạ tầng điều khiển, cơ chế thực thi trì hoãn và kỹ thuật né tránh sandbox được triển khai đồng bộ nhằm kéo dài tuổi thọ chiến dịch và giảm thiểu nguy cơ bị phát hiện.
​

Theo The Hacker News​