Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Nhóm hacker Trung Quốc phát tán mã độc tự sao chép, lây lan qua ổ USB
Nhóm gián điệp mạng UNC4191 (liên quan Trung Quốc) bị phát hiện sử dụng mã độc tự sao chép trên các ổ USB để lây nhiễm các mục tiêu. Kỹ thuật này cho phép hacker đánh cắp dữ liệu từ các hệ thống air-gapped, theo báo cáo từ Mandiant thuộc sở hữu của Google.
UNC4191 từng bị phát hiện nhắm mục tiêu vào các tổ chức công và tư nhân ở Đông Nam Á, Châu Á-Thái Bình Dương, Châu Âu và Hoa Kỳ, tập trung vào Philippines.
Theo kết quả điều tra, nhóm hacker đã sử dụng các dòng mã độc như Mistcloak launcher, Darkdew dropper và Bluehaze launcher.
Những kẻ tấn công cũng đã triển khai tiện ích NCAT (cho mục đích tải tệp xuống và tải tệp lên) và một reverse shell trên máy mục tiêu, để tạo backdoor vào hệ thống.
Mandiant cho biết: “Mã độc tự sao chép bằng cách lây nhiễm các ổ đĩa di động mới được cắm vào một hệ thống bị xâm nhập, cho phép payload lan truyền sang các hệ thống khác và có khả năng thu thập dữ liệu từ các hệ thống air-gapped”.
Chu kỳ lây nhiễm bắt đầu bằng việc người dùng kết nối ổ đĩa di động bị nhiễm với máy của họ, điều này sẽ kích hoạt việc thực thi một phiên bản của ứng dụng USB Network Gate thành side-load Mistcloak. Mã độc này tải một tệp INI có chứa Darkdew, được thiết kế để đeo bám dai dẳng và lây nhiễm các ổ USB khi chúng được kết nối với hệ thống.
Bluehaze, hoạt động ở giai đoạn thứ ba của chuỗi lây nhiễm, thực thi một tệp NCAT đã được đổi tên, tạo ra một reverse shell cho một máy chủ C&C cố định.
“Mandiant chưa thấy bằng chứng về tương tác reverse shell; tuy nhiên, dựa trên thời gian hoạt động, điều này có thể do khoảng cách hiển thị hoặc thời gian lưu giữ log ngắn” Mandiant lưu ý.
Các chuyên gia tin rằng chiến dịch đã diễn ra ít nhất là từ tháng 9/2021, tập trung vào việc làm tổn hại các tổ chức công và tư nhân để tiến hành các hoạt động gián điệp mạng liên quan đến lợi ích chính trị và thương mại của Trung Quốc.
“Các quan sát của chúng tôi cho thấy, các nạn nhân ở Philippines là mục tiêu chính của hoạt động này, dựa trên số lượng hệ thống được xác định bị ảnh hưởng ở quốc gia này”, Mandiant cho biết.
UNC4191 từng bị phát hiện nhắm mục tiêu vào các tổ chức công và tư nhân ở Đông Nam Á, Châu Á-Thái Bình Dương, Châu Âu và Hoa Kỳ, tập trung vào Philippines.
Theo kết quả điều tra, nhóm hacker đã sử dụng các dòng mã độc như Mistcloak launcher, Darkdew dropper và Bluehaze launcher.
Những kẻ tấn công cũng đã triển khai tiện ích NCAT (cho mục đích tải tệp xuống và tải tệp lên) và một reverse shell trên máy mục tiêu, để tạo backdoor vào hệ thống.
Mandiant cho biết: “Mã độc tự sao chép bằng cách lây nhiễm các ổ đĩa di động mới được cắm vào một hệ thống bị xâm nhập, cho phép payload lan truyền sang các hệ thống khác và có khả năng thu thập dữ liệu từ các hệ thống air-gapped”.
Chu kỳ lây nhiễm bắt đầu bằng việc người dùng kết nối ổ đĩa di động bị nhiễm với máy của họ, điều này sẽ kích hoạt việc thực thi một phiên bản của ứng dụng USB Network Gate thành side-load Mistcloak. Mã độc này tải một tệp INI có chứa Darkdew, được thiết kế để đeo bám dai dẳng và lây nhiễm các ổ USB khi chúng được kết nối với hệ thống.
Bluehaze, hoạt động ở giai đoạn thứ ba của chuỗi lây nhiễm, thực thi một tệp NCAT đã được đổi tên, tạo ra một reverse shell cho một máy chủ C&C cố định.
“Mandiant chưa thấy bằng chứng về tương tác reverse shell; tuy nhiên, dựa trên thời gian hoạt động, điều này có thể do khoảng cách hiển thị hoặc thời gian lưu giữ log ngắn” Mandiant lưu ý.
Các chuyên gia tin rằng chiến dịch đã diễn ra ít nhất là từ tháng 9/2021, tập trung vào việc làm tổn hại các tổ chức công và tư nhân để tiến hành các hoạt động gián điệp mạng liên quan đến lợi ích chính trị và thương mại của Trung Quốc.
“Các quan sát của chúng tôi cho thấy, các nạn nhân ở Philippines là mục tiêu chính của hoạt động này, dựa trên số lượng hệ thống được xác định bị ảnh hưởng ở quốc gia này”, Mandiant cho biết.
Nguồn: Security Week
Chỉnh sửa lần cuối: