WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Gián điệp mạng Tropic Trooper nhắm mục tiêu vào lĩnh vực vận tải
Từ tháng 7/2020, ngành giao thông vận tải và các cơ quan chính phủ đang là mục tiêu của nhóm gián điệp mạng tinh vi.
Trong một báo cáo công bố tuần trước, nhà nghiên cứu Nick Dai, Ted Lee và Vickie Su của Trend Micro cho biết “Nhóm này đã cố gắng truy cập một số tài liệu nội bộ như lịch trình chuyến bay và tài liệu kế hoạch tài chính và thông tin cá nhân trên các máy chủ bị xâm nhập”.
Tropic Trooper nhắm mục tiêu tới các tổ chức chính phủ, chăm sóc sức khỏe, giao thông vận tải và các ngành công nghệ cao ở Đài Loan, Philippines, và Hong Kong từ năm 2011.
Nhóm gián điệp đươc cho là sử dụng tiếng Trung với việc sử dụng các email lừa đảo có đính kèm mã độc để khai thác các lỗ hổng đồng thời cải tiến các công cụ để tăng cường khả năng che giấu và tăng cường hiệu quả tấn công.
Vào tháng 5 năm 2020, các chuyên gia quan sát được các chiến lược tấn công triển khai một trojan USB có tên là USBFerry để tấn công các mạng bị cô lập về mặt vật lý thuộc các tổ chức chính phủ và các thực thể quân sự ở Đài Loan và Philippines với mục tiêu lấy dữ liệu nhạy cảm thông qua thiết bị di động ổ đĩa flash.
Các chuyên gia của Trend Micro đã trình bày chi tiết việc nhóm chuyển sang khai thác các máy chủ Dịch vụ Thông tin Internet (IIS) dễ bị tấn công và các lỗi máy chủ Exchange làm điểm vào để cài đặt trình bao web sau đó được sử dụng để cung cấp trình tải Nerapack dựa trên .NET và một cửa hậu ở giai đoạn đầu được gọi là Quasar trên hệ thống bị xâm phạm.
Từ đó, kẻ xấu theo dõi nó bằng cách thả một kho vũ khí cấy ghép như ChiserClient, SmileSvr, ChiserClient, HTShell và các phiên bản riêng biệt của Lilith RAT và Gh0st RAT tùy thuộc vào nạn nhân để lấy thêm thông tin từ máy chủ từ xa, tải payload, thực hiện các thao tác với tệp, thực hiện các lệnh tùy ý và trích xuất các kết quả trở lại máy chủ.
Không những thế, sau khi khai thác thành công hệ thống, Tropic Trooper cũng tìmh cách xâm nhập mạng nội bộ, kết xuất thông tin đăng nhập và xóa sạch nhật ký sự kiện khỏi các máy bị nhiễm bằng một bộ công cụ cụ thể.
Các nhà phân tích của Trend Micro giải thích: “Hiện tại, chúng tôi chưa phát hiện ra thiệt hại đáng kể cho những nạn nhân này do nhóm mối đe dọa gây ra. Tuy nhiên, chúng tôi tin rằng kẻ xấu sẽ tiếp tục thu thập thông tin nội bộ từ các nạn nhân bị và chờ đợi cơ hội để sử dụng dữ liệu này”.
Trong một báo cáo công bố tuần trước, nhà nghiên cứu Nick Dai, Ted Lee và Vickie Su của Trend Micro cho biết “Nhóm này đã cố gắng truy cập một số tài liệu nội bộ như lịch trình chuyến bay và tài liệu kế hoạch tài chính và thông tin cá nhân trên các máy chủ bị xâm nhập”.
Nhóm gián điệp đươc cho là sử dụng tiếng Trung với việc sử dụng các email lừa đảo có đính kèm mã độc để khai thác các lỗ hổng đồng thời cải tiến các công cụ để tăng cường khả năng che giấu và tăng cường hiệu quả tấn công.
Vào tháng 5 năm 2020, các chuyên gia quan sát được các chiến lược tấn công triển khai một trojan USB có tên là USBFerry để tấn công các mạng bị cô lập về mặt vật lý thuộc các tổ chức chính phủ và các thực thể quân sự ở Đài Loan và Philippines với mục tiêu lấy dữ liệu nhạy cảm thông qua thiết bị di động ổ đĩa flash.
Các chuyên gia của Trend Micro đã trình bày chi tiết việc nhóm chuyển sang khai thác các máy chủ Dịch vụ Thông tin Internet (IIS) dễ bị tấn công và các lỗi máy chủ Exchange làm điểm vào để cài đặt trình bao web sau đó được sử dụng để cung cấp trình tải Nerapack dựa trên .NET và một cửa hậu ở giai đoạn đầu được gọi là Quasar trên hệ thống bị xâm phạm.
Từ đó, kẻ xấu theo dõi nó bằng cách thả một kho vũ khí cấy ghép như ChiserClient, SmileSvr, ChiserClient, HTShell và các phiên bản riêng biệt của Lilith RAT và Gh0st RAT tùy thuộc vào nạn nhân để lấy thêm thông tin từ máy chủ từ xa, tải payload, thực hiện các thao tác với tệp, thực hiện các lệnh tùy ý và trích xuất các kết quả trở lại máy chủ.
Không những thế, sau khi khai thác thành công hệ thống, Tropic Trooper cũng tìmh cách xâm nhập mạng nội bộ, kết xuất thông tin đăng nhập và xóa sạch nhật ký sự kiện khỏi các máy bị nhiễm bằng một bộ công cụ cụ thể.
Các nhà phân tích của Trend Micro giải thích: “Hiện tại, chúng tôi chưa phát hiện ra thiệt hại đáng kể cho những nạn nhân này do nhóm mối đe dọa gây ra. Tuy nhiên, chúng tôi tin rằng kẻ xấu sẽ tiếp tục thu thập thông tin nội bộ từ các nạn nhân bị và chờ đợi cơ hội để sử dụng dữ liệu này”.
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: