-
09/04/2020
-
85
-
554 bài viết
Microsoft “tịch thu” 42 tên miền độc hại được tin tặc Trung Quốc sử dụng
Mới đây, Microsoft đã thông báo về việc thu giữ 42 tên miền được sử dụng bởi một nhóm gián điệp mạng có trụ sở tại Trung Quốc. Đây là nhóm tấn công APT chuyên nhắm vào các tổ chức ở Mỹ và 28 quốc gia khác.
Công ty Redmond cho biết các cuộc tấn công đến từ nhóm tin tặc mà họ đang truy đuổi mang tên Nickel (hay còn có biệt danh là APT15, Bronze Palace, Ke3Chang, Mirage, Playful Dragon và Vixen Panda). Nhóm tấn công APT này được cho là đã hoạt động từ năm 2012.
"Nickel đã nhắm mục tiêu vào cả các tổ chức tư nhân cũng như công cộng, bao gồm các tổ chức ngoại giao và bộ ngoại giao ở Bắc Mỹ, Trung Mỹ, Nam Mỹ, Caribê, Châu Âu và Châu Phi" - Phó Chủ tịch Công ty của Microsoft, Tom Burt cho biết. "Thường có mối tương quan giữa các mục tiêu của Nickel và lợi ích địa chính trị của Trung Quốc”.
Cơ sở hạ tầng giả mạo cho phép nhóm tấn công duy trì quyền truy cập lâu dài vào các máy bị xâm nhập và thực hiện các cuộc tấn công nhằm mục đích thu thập thông tin tình báo nhắm vào các cơ quan chính phủ, tổ chức tư vấn và nhân quyền như một phần của chiến dịch gián điệp kỹ thuật số xuất hiện từ tháng 9 năm 2019.
Microsoft cho rằng các cuộc tấn công mạng này "rất tinh vi", sử dụng nhiều kỹ thuật, bao gồm cả việc xâm nhập các dịch vụ truy cập từ xa và khai thác các lỗ hổng chưa được vá trong các thiết bị VPN cũng như các hệ thống Exchange Server và SharePoint để "chèn phần mềm độc hại khó phát hiện, tạo điều kiện cho xâm nhập, giám sát và đánh cắp dữ liệu. "
Khi mới bắt đầu có tên tuổi, Nickel đã bị phát hiện triển khai các công cụ đánh cắp thông tin xác thực như Mimikatz và WDigest để xâm nhập vào tài khoản nạn nhân. Chúng còn cung cấp phần mềm độc hại cho phép kẻ gian duy trì kết nối trong mạng của nạn nhân trong thời gian dài và tiến hành lọc tệp theo lịch trình, thực thi mã shell tùy ý và thu thập email từ tài khoản Microsoft 365 bằng thông tin đăng nhập bị xâm phạm.
Nhiều dòng backdoor được sử dụng cho máy chủ C2 như Neoichor, Leeson, NumbIdea, NullItch và Rokum.
Nickel đã thực hiện nhiều chiến dịch tấn công trong những năm gần đây. Vào tháng 7 năm 2020, công ty an ninh di động Lookout đã tiết lộ bốn ứng dụng hợp pháp bị trojan hóa có tên là SilkBean, DoubleAgent, CarbonSteal và GoldenEagle. Các ứng dụng này nhắm mục tiêu vào người dân tộc thiểu số Uyghur và cộng đồng người Tây Tạng với mục tiêu thu thập và truyền dữ liệu người dùng cá nhân tới máy chủ C2 của kẻ tấn công.
"Khi ảnh hưởng của Trung Quốc trên toàn thế giới tiếp tục phát triển và quốc gia này thiết lập quan hệ song phương với nhiều quốc gia hơn cũng như mở rộng quan hệ đối tác, chúng tôi đánh giá rằng các tin tặc từ Trung Quốc sẽ tiếp tục nhắm mục tiêu đến các khách hàng chính phủ, ngoại giao và các lĩnh vực phi chính phủ để có được những thông tin mới, có thể là nhằm theo đuổi các mục tiêu gián điệp kinh tế hoặc thu thập thông tin tình báo” Microsoft cho biết.
Công ty Redmond cho biết các cuộc tấn công đến từ nhóm tin tặc mà họ đang truy đuổi mang tên Nickel (hay còn có biệt danh là APT15, Bronze Palace, Ke3Chang, Mirage, Playful Dragon và Vixen Panda). Nhóm tấn công APT này được cho là đã hoạt động từ năm 2012.
"Nickel đã nhắm mục tiêu vào cả các tổ chức tư nhân cũng như công cộng, bao gồm các tổ chức ngoại giao và bộ ngoại giao ở Bắc Mỹ, Trung Mỹ, Nam Mỹ, Caribê, Châu Âu và Châu Phi" - Phó Chủ tịch Công ty của Microsoft, Tom Burt cho biết. "Thường có mối tương quan giữa các mục tiêu của Nickel và lợi ích địa chính trị của Trung Quốc”.
Cơ sở hạ tầng giả mạo cho phép nhóm tấn công duy trì quyền truy cập lâu dài vào các máy bị xâm nhập và thực hiện các cuộc tấn công nhằm mục đích thu thập thông tin tình báo nhắm vào các cơ quan chính phủ, tổ chức tư vấn và nhân quyền như một phần của chiến dịch gián điệp kỹ thuật số xuất hiện từ tháng 9 năm 2019.
Microsoft cho rằng các cuộc tấn công mạng này "rất tinh vi", sử dụng nhiều kỹ thuật, bao gồm cả việc xâm nhập các dịch vụ truy cập từ xa và khai thác các lỗ hổng chưa được vá trong các thiết bị VPN cũng như các hệ thống Exchange Server và SharePoint để "chèn phần mềm độc hại khó phát hiện, tạo điều kiện cho xâm nhập, giám sát và đánh cắp dữ liệu. "
Khi mới bắt đầu có tên tuổi, Nickel đã bị phát hiện triển khai các công cụ đánh cắp thông tin xác thực như Mimikatz và WDigest để xâm nhập vào tài khoản nạn nhân. Chúng còn cung cấp phần mềm độc hại cho phép kẻ gian duy trì kết nối trong mạng của nạn nhân trong thời gian dài và tiến hành lọc tệp theo lịch trình, thực thi mã shell tùy ý và thu thập email từ tài khoản Microsoft 365 bằng thông tin đăng nhập bị xâm phạm.
Nhiều dòng backdoor được sử dụng cho máy chủ C2 như Neoichor, Leeson, NumbIdea, NullItch và Rokum.
Nickel đã thực hiện nhiều chiến dịch tấn công trong những năm gần đây. Vào tháng 7 năm 2020, công ty an ninh di động Lookout đã tiết lộ bốn ứng dụng hợp pháp bị trojan hóa có tên là SilkBean, DoubleAgent, CarbonSteal và GoldenEagle. Các ứng dụng này nhắm mục tiêu vào người dân tộc thiểu số Uyghur và cộng đồng người Tây Tạng với mục tiêu thu thập và truyền dữ liệu người dùng cá nhân tới máy chủ C2 của kẻ tấn công.
"Khi ảnh hưởng của Trung Quốc trên toàn thế giới tiếp tục phát triển và quốc gia này thiết lập quan hệ song phương với nhiều quốc gia hơn cũng như mở rộng quan hệ đối tác, chúng tôi đánh giá rằng các tin tặc từ Trung Quốc sẽ tiếp tục nhắm mục tiêu đến các khách hàng chính phủ, ngoại giao và các lĩnh vực phi chính phủ để có được những thông tin mới, có thể là nhằm theo đuổi các mục tiêu gián điệp kinh tế hoặc thu thập thông tin tình báo” Microsoft cho biết.
Nguồn: The Hacker News