-
09/04/2020
-
116
-
1.187 bài viết
Nhóm hacker “Mysterious Elephant” nhắm mục tiêu vào các cơ quan chính phủ châu Á
Trong những tháng gần đây, giới an ninh mạng phát hiện một nhóm tin tặc mới mang tên Mysterious Elephant, đang được đánh giá là một mối đe dọa đáng gờm trong khu vực châu Á - Thái Bình Dương.
Theo nhóm nghiên cứu, nhóm này đã liên tục phát triển công cụ tấn công của mình từ năm 2023 đến nay, tập trung vào các cơ quan chính phủ và tổ chức ngoại giao với mục tiêu thu thập thông tin mật và duy trì quyền truy cập lâu dài.
Các chiến dịch ban đầu của Mysterious Elephant có vẻ đơn giản, như sử dụng email giả mạo để gửi tài liệu Office có mã độc. Tuy nhiên, đến năm 2025, kỹ thuật của họ đã được nâng cấp đáng kể.
Khi nạn nhân mở tài liệu, tin tặc khai thác lỗ hổng CVE-2017-11882 trong trình soạn thảo công thức của Microsoft Office. Đây là lỗi đã tồn tại từ lâu nhưng vẫn còn hiệu quả vì nhiều người dùng và tổ chức chưa cập nhật bản vá. Ngay sau khi lỗ hổng bị khai thác, tài liệu sẽ tự động kích hoạt lệnh PowerShell để tải xuống một mã độc tên là BabShell, được xem là công cụ nền tảng của nhóm. BabShell hoạt động âm thầm, giúp tin tặc cài đặt thêm các thành phần khác mà không để lại dấu vết trên ổ đĩa.
Sau bước đầu xâm nhập, Mysterious Elephant triển khai trình nạp thứ hai là MemLoader HidenDesk (một công cụ được tiêm thẳng vào bộ nhớ, giúp ẩn hoạt động khỏi phần mềm diệt virus và giảm dấu vết pháp y).
Khi hoạt động, mã độc này cài đặt phần mềm điều khiển từ xa RAT, cho phép tin tặc kiểm soát hệ thống, di chuyển sang các máy khác trong mạng nội bộ và thu thập dữ liệu nhạy cảm. Mục tiêu chính của nhóm là đánh cắp dữ liệu WhatsApp, bao gồm: Tài liệu, hình ảnh, tệp lưu trữ... Dữ liệu bị mã hóa sơ bộ bằng XOR rồi gửi về máy chủ điều khiển (C2), thông qua các tên miền ngụy trang như: Storycentral.net hoặc monsoonconference.com, khiến lưu lượng này trông như hoạt động web bình thường.
Chiến dịch này thể hiện sự tinh vi và kiên trì đặc trưng của các nhóm APT (Advanced Persistent Threat). Việc sử dụng công cụ mã nguồn mở, kết hợp với mã độc tự viết cho thấy Mysterious Elephant có trình độ kỹ thuật cao và hiểu sâu về cơ chế bảo mật doanh nghiệp. Phạm vi tấn công hiện được ghi nhận chủ yếu là các cơ quan nhà nước, tổ chức ngoại giao và lĩnh vực tài chính và đồng thời chúng quan tâm tới toàn bộ khu vực tại châu Á - Thái Bình Dương.
Nếu không được phát hiện sớm, nhóm này có thể duy trì quyền truy cập trong nhiều tháng, thu thập thông tin chiến lược hoặc làm bàn đạp cho các cuộc tấn công tiếp theo.
Để hạn chế nguy cơ từ các chiến dịch như Mysterious Elephant, các tổ chức nên:
Theo nhóm nghiên cứu, nhóm này đã liên tục phát triển công cụ tấn công của mình từ năm 2023 đến nay, tập trung vào các cơ quan chính phủ và tổ chức ngoại giao với mục tiêu thu thập thông tin mật và duy trì quyền truy cập lâu dài.
Các chiến dịch ban đầu của Mysterious Elephant có vẻ đơn giản, như sử dụng email giả mạo để gửi tài liệu Office có mã độc. Tuy nhiên, đến năm 2025, kỹ thuật của họ đã được nâng cấp đáng kể.
Khi nạn nhân mở tài liệu, tin tặc khai thác lỗ hổng CVE-2017-11882 trong trình soạn thảo công thức của Microsoft Office. Đây là lỗi đã tồn tại từ lâu nhưng vẫn còn hiệu quả vì nhiều người dùng và tổ chức chưa cập nhật bản vá. Ngay sau khi lỗ hổng bị khai thác, tài liệu sẽ tự động kích hoạt lệnh PowerShell để tải xuống một mã độc tên là BabShell, được xem là công cụ nền tảng của nhóm. BabShell hoạt động âm thầm, giúp tin tặc cài đặt thêm các thành phần khác mà không để lại dấu vết trên ổ đĩa.
Sau bước đầu xâm nhập, Mysterious Elephant triển khai trình nạp thứ hai là MemLoader HidenDesk (một công cụ được tiêm thẳng vào bộ nhớ, giúp ẩn hoạt động khỏi phần mềm diệt virus và giảm dấu vết pháp y).
Khi hoạt động, mã độc này cài đặt phần mềm điều khiển từ xa RAT, cho phép tin tặc kiểm soát hệ thống, di chuyển sang các máy khác trong mạng nội bộ và thu thập dữ liệu nhạy cảm. Mục tiêu chính của nhóm là đánh cắp dữ liệu WhatsApp, bao gồm: Tài liệu, hình ảnh, tệp lưu trữ... Dữ liệu bị mã hóa sơ bộ bằng XOR rồi gửi về máy chủ điều khiển (C2), thông qua các tên miền ngụy trang như: Storycentral.net hoặc monsoonconference.com, khiến lưu lượng này trông như hoạt động web bình thường.
Chiến dịch này thể hiện sự tinh vi và kiên trì đặc trưng của các nhóm APT (Advanced Persistent Threat). Việc sử dụng công cụ mã nguồn mở, kết hợp với mã độc tự viết cho thấy Mysterious Elephant có trình độ kỹ thuật cao và hiểu sâu về cơ chế bảo mật doanh nghiệp. Phạm vi tấn công hiện được ghi nhận chủ yếu là các cơ quan nhà nước, tổ chức ngoại giao và lĩnh vực tài chính và đồng thời chúng quan tâm tới toàn bộ khu vực tại châu Á - Thái Bình Dương.
Nếu không được phát hiện sớm, nhóm này có thể duy trì quyền truy cập trong nhiều tháng, thu thập thông tin chiến lược hoặc làm bàn đạp cho các cuộc tấn công tiếp theo.
Để hạn chế nguy cơ từ các chiến dịch như Mysterious Elephant, các tổ chức nên:
- Cập nhật đầy đủ bản vá bảo mật, đặc biệt với các lỗi cũ như CVE-2017-11882.
- Huấn luyện nhân viên nhận diện email lừa đảo và không mở tệp đính kèm đáng ngờ.
- Giám sát lưu lượng mạng để phát hiện kết nối đến các miền khả nghi.
- Triển khai giải pháp EDR/XDR để phát hiện hoạt động bất thường trong bộ nhớ.
- Kiểm tra nhật ký hệ thống định kỳ, tìm dấu hiệu sử dụng PowerShell hoặc DLL đáng ngờ.
WhiteHat