DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Phát hiện backdoor Sidewalk trong các cuộc tấn công của nhóm tin tặc Trung Quốc Grayfly
Theo một nghiên cứu gần đây của Symantec, băng nhóm Grayfly được cho là có liên kết với nhóm APT41 của Trung Quốc đã sử dụng một loại backdoor mới, có tên Sidewalk, trong các cuộc tấn công vào hệ thống viễn thông ở Mỹ, Đài Loan, Việt Nam và Mexico. Grayfly sẽ tìm kiếm và khai thác các máy chủ web có thể truy cập công cộng, để triển khai webshell nhằm thực hiện các hành động độc hại khác.
Sidewalk dường như liên kết với backdoor Crosswalk đã được biết đến trước đây, do nhóm tin tặc SparklingGoblin phát triển. Theo các chuyên gia ESET, SparklingGoblin cũng được kết nối với họ phần mềm độc hại Winnti. Symantec cho biết, các phần mềm độc hại này đều được sử dụng bởi các nhóm gián điệp của Trung Quốc như Grayfly, GREF, và Wicked Panda. Một vài thành viên của các nhóm này đã bị kết án vào năm ngoái tại Hoa Kỳ.
Grayfly bắt đầu hoạt động vào năm 2017. Vào tháng 9 năm 2020, năm công dân Trung Quốc đã bị Bộ Tư pháp Hoa Kỳ kết tội với hành vi tấn công hơn 100 doanh nghiệp, cơ quan chính phủ và các tổ chức khác trên khắp thế giới.
Symantec cho biết: "Sau khi thâm nhập thành công một mạng mục tiêu, Grayfly tiến hành cài đặt các backdoor được tùy chỉnh với nhiều chức năng nâng cao. Backdoor này cho phép kẻ tấn công quyền truy cập vào toàn bộ hệ thống mạng, cũng các kết nối proxy để xâm nhập các phân đoạn mạng khó tiếp cận của hệ thống."
Kẻ tấn công tải lên và sử dụng công cụ Mimikatz trên máy tính mục tiêu nhằm thu thập các thông tin xác thực. Với các thông tin này, chúng có thể dễ dàng truy cập từ xa vào hệ thống và kết kết nối proxy. Grayfly triển khai đồng thời backdoor Sidewalk và các Trojan vào hệ thống mục tiêu.
Theo Symantec, hacker thực hiện một lệnh PowerShell được mã hóa Base64 liên quan đến Exchange Server. Tiếp đến, lệnh certutil được sử dụng để làm trống và hiển thị thông tin nhà cung cấp chứng chỉ, sử dụng lệnh PowerShell để giải mã và triển khai webshell. Sau đó, kẻ tấn công ngay lập tức khởi chạy lệnh mã hóa PowerShell Base64 thứ hai để chuyển web shell đến đường dẫn cài đặt cho Exchange. Sau khoảng vài phút, một backdoor được triển khai thông qua công cụ installutil.exe. Khoảng một giờ sau, kẻ tấn công dùng lệnh WMIC để chạy một tệp batch trong Windows và thiết lập một chương trình để khởi chạy backdoor.
Theo báo cáo, Grayfly khởi chạy chương trình Mimikatz để trích xuất thông tin đăng nhập là giai đoạn cuối cùng trong cuộc tấn công này.
Các nhà nghiên cứu cho biết: “Greyfly là một nhóm tin tặc với trình độ cao, có khả năng tiếp tục gây ra rủi ro cho các tổ chức ở châu Á và châu Âu trong nhiều lĩnh vực khác nhau, bao gồm viễn thông, tài chính và truyền thông. Có khả năng nhóm này sẽ tiếp tục phát triển và cải thiện các công cụ tùy chỉnh của mình để tránh sự phát hiện, cùng với việc sử dụng phương pháp như khai thác lỗ hổng được tiết lộ công khai và web shell để hỗ trợ các cuộc tấn công của chúng.”
Sidewalk dường như liên kết với backdoor Crosswalk đã được biết đến trước đây, do nhóm tin tặc SparklingGoblin phát triển. Theo các chuyên gia ESET, SparklingGoblin cũng được kết nối với họ phần mềm độc hại Winnti. Symantec cho biết, các phần mềm độc hại này đều được sử dụng bởi các nhóm gián điệp của Trung Quốc như Grayfly, GREF, và Wicked Panda. Một vài thành viên của các nhóm này đã bị kết án vào năm ngoái tại Hoa Kỳ.
Grayfly bắt đầu hoạt động vào năm 2017. Vào tháng 9 năm 2020, năm công dân Trung Quốc đã bị Bộ Tư pháp Hoa Kỳ kết tội với hành vi tấn công hơn 100 doanh nghiệp, cơ quan chính phủ và các tổ chức khác trên khắp thế giới.
Symantec cho biết: "Sau khi thâm nhập thành công một mạng mục tiêu, Grayfly tiến hành cài đặt các backdoor được tùy chỉnh với nhiều chức năng nâng cao. Backdoor này cho phép kẻ tấn công quyền truy cập vào toàn bộ hệ thống mạng, cũng các kết nối proxy để xâm nhập các phân đoạn mạng khó tiếp cận của hệ thống."
Kẻ tấn công tải lên và sử dụng công cụ Mimikatz trên máy tính mục tiêu nhằm thu thập các thông tin xác thực. Với các thông tin này, chúng có thể dễ dàng truy cập từ xa vào hệ thống và kết kết nối proxy. Grayfly triển khai đồng thời backdoor Sidewalk và các Trojan vào hệ thống mục tiêu.
Theo Symantec, hacker thực hiện một lệnh PowerShell được mã hóa Base64 liên quan đến Exchange Server. Tiếp đến, lệnh certutil được sử dụng để làm trống và hiển thị thông tin nhà cung cấp chứng chỉ, sử dụng lệnh PowerShell để giải mã và triển khai webshell. Sau đó, kẻ tấn công ngay lập tức khởi chạy lệnh mã hóa PowerShell Base64 thứ hai để chuyển web shell đến đường dẫn cài đặt cho Exchange. Sau khoảng vài phút, một backdoor được triển khai thông qua công cụ installutil.exe. Khoảng một giờ sau, kẻ tấn công dùng lệnh WMIC để chạy một tệp batch trong Windows và thiết lập một chương trình để khởi chạy backdoor.
Theo báo cáo, Grayfly khởi chạy chương trình Mimikatz để trích xuất thông tin đăng nhập là giai đoạn cuối cùng trong cuộc tấn công này.
Các nhà nghiên cứu cho biết: “Greyfly là một nhóm tin tặc với trình độ cao, có khả năng tiếp tục gây ra rủi ro cho các tổ chức ở châu Á và châu Âu trong nhiều lĩnh vực khác nhau, bao gồm viễn thông, tài chính và truyền thông. Có khả năng nhóm này sẽ tiếp tục phát triển và cải thiện các công cụ tùy chỉnh của mình để tránh sự phát hiện, cùng với việc sử dụng phương pháp như khai thác lỗ hổng được tiết lộ công khai và web shell để hỗ trợ các cuộc tấn công của chúng.”
Theo: ehackingnews