DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Phát hiện chiến dịch gián điệp mạng mới của tin tặc Trung Quốc nhắm vào Đông Nam Á
Tội phạm mạng đang sử dụng vũ khí tấn công mới dùng chuỗi lây nhiễm nhiều giai đoạn khá tinh vi nhằm cản trở quá trình phát hiện và phân tích.
Vũ khí gián điệp mạng mới này có thể do một nhóm APT tại Trung Quốc có tên SharpPanda phát triển và sử dụng. Đây là loại backdoor trên hệ điều hành Windows chưa từ được biết đến, cho phép truy cập từ xa và thu thập dữ liệu, điều đáng nói là quá trình thu thập này chỉ hoạt động theo múi giờ làm việc của Trung Quốc.
Chiến dịch gián điệp do nhóm tin tặc này phát động hiện đang nhắm vào Bộ Ngoại giao ở một nước Đông Nam Á, bắt đầu bằng việc gửi email lừa đảo trực tuyến kèm theo mã độc trong tệp đính kèm.
Các tài liệu độc hại được "trang bị" bộ công cụ khai thác RoyalRoad RTF, tin tặc sau đó phát động một chiến dịch lừa đảo trực tuyến bằng cách gửi email tới nhiều mục tiêu trong Bộ Ngoại giao. Các nhà nghiên cứu từ Check Point Research (CPR) báo cáo rằng việc mở tệp đính kèm sẽ bắt đầu một chuỗi các trình tải trong bộ nhớ nhằm phân phối các backdoor chưa được biết đến trước đó.
Tiếp đó, tin tặc sẽ lợi dụng lỗ hổng trong thành phần Equation Editor của Microsoft Word (một lỗi đã cũ và đã được khắc phục nhưng vẫn phổ biến với các nhóm APT của Trung Quốc) để triển khai backdoor lên hệ thống mục tiêu. Đây là sự khởi đầu của một chuỗi lây nhiễm nhiều giai đoạn phức tạp gây khó khăn cho việc phát hiện và phân tích.
Bằng việc khai thác hàm Sleep phổ biến dựa trên công nghệ anti-sanboxing, tin tặc triển mã độc lên máy nạn nhân. Sau đó, nó thu thập dữ liệu trên máy tính của nạn nhân và truy vấn WMI để biết thông tin về công cụ chống vi-rút trên hệ thống. Dữ liệu này được mã hóa bằng RC4 và base64 và được gửi qua thông qua yêu cầu GET HTTP tới máy chủ ra lệnh và kiểm soát (C2).
Sau khi xác định được mục tiêu, mã độc tiếp tục tải các mã độc DLL khác vào bộ nhớ và thực hiện thu thập thông tin thông qua hàm StarW, và gửi kết quả về máy chủ C2.
Mã độc tiếp tục tải các mã độc hại từ máy chủ C2 nhằm tạo kết nối với máy chủ kiểm soát để nhận lệnh và triển khai backdoor. Backdoor này có nhiệm vụ thu thập thông tin về các tiến trình và dịch vụ đang chạy, chụp ảnh màn hình, thực hiện đọc/ghi thông cmd.exe, tạo hoặc kết thúc các tiến trình, thu thập thông tin về máy tính, tắt máy tính... Tin tặc gọi backdoor này là VictoryDll_x86.dll.
Backdoor VictoryDll_x86.dll được phát triển từ năm 2017 và được Check Point Research phát hiện trong năm 2018 khi mẫu được gửi lên VirusTotal để quét. Khi ấy, kẻ tấn công gọi backdoor này là MClient và được triển khai trong dự án SharpM.
Theo thời gian, cuộc tấn công đã được chia thành nhiều giai đoạn để cản trở việc phát hiện và phân tích.
Nhà nghiên cứu Lotem Finkelsteen từ Check Point Software, nhận xét: “Tất cả các bằng chứng đều chỉ ra thực tế rằng đây là một nhóm tin tặc với kỹ năng cao, rất khó khăn để phát hiện các chiến dịch từ chúng. Cứ vài tuần một lần, kẻ tấn công lại sử dụng các email lừa đảo, với nội dung của mang hơi hướng chỉ đạo của chính phủ, để cố gắng tạo ra sự tin tưởng từ các cơ quan của bộ ngoại giao. Điều này cho thấy kẻ tấn công trước tiên phải tấn công một cơ quan trong chính phủ để đánh cắp và nhúng mã độc vào tài liệu để tấn công bộ ngoại giao. Nhóm tin tặc tới từ Trung Quốc này thực hiện tấn công rất có hệ thống”.
Những manh mối để xác định nhóm tin tặc có liên quan tới Trung Quốc bao gồm việc sử dụng công cụ RoyalRoad, chỉ hoạt động trong giờ làm việc theo múi giờ của Trung Quốc, ngừng hoạt động trong ngày nghỉ lao động của Trung Quốc (từ ngày 1 tháng 5 đến ngày 5 tháng 5), phần mềm độc hại có chứa các kiểm tra kết nối với Baidu.
Finkelsteen nói: “Cuối cùng, cuộc điều tra phát hiện ra một backdoor Windows mới, mà nhóm APT Trung Quốc đã phát triển từ năm 2017. Backdoor được phát triển trong vòng ba năm, trước khi nó được sử dụng trong tự nhiên. Backdoor này có khả năng lây lan mạnh hơn nhiều và có khả năng thu thập một lượng lớn dữ liệu từ một máy tính bị nhiễm độc. Chúng tôi biết rằng những kẻ tấn công không chỉ quan tâm đến dữ liệu mà còn cả những gì đang xảy ra trên máy tính cá nhân của mục tiêu bất cứ lúc nào."
Với việc sử dụng kiến trúc plug-in trong tấn công, tin tặc có thể sử dụng các tiến trình để tải xuống và cài đặt các loại mã độc khác bên cạnh backdoor VictoryDll và triển khai tấn công ở bất kỳ nơi nào.
Vũ khí gián điệp mạng mới này có thể do một nhóm APT tại Trung Quốc có tên SharpPanda phát triển và sử dụng. Đây là loại backdoor trên hệ điều hành Windows chưa từ được biết đến, cho phép truy cập từ xa và thu thập dữ liệu, điều đáng nói là quá trình thu thập này chỉ hoạt động theo múi giờ làm việc của Trung Quốc.
Chiến dịch gián điệp do nhóm tin tặc này phát động hiện đang nhắm vào Bộ Ngoại giao ở một nước Đông Nam Á, bắt đầu bằng việc gửi email lừa đảo trực tuyến kèm theo mã độc trong tệp đính kèm.
Các tài liệu độc hại được "trang bị" bộ công cụ khai thác RoyalRoad RTF, tin tặc sau đó phát động một chiến dịch lừa đảo trực tuyến bằng cách gửi email tới nhiều mục tiêu trong Bộ Ngoại giao. Các nhà nghiên cứu từ Check Point Research (CPR) báo cáo rằng việc mở tệp đính kèm sẽ bắt đầu một chuỗi các trình tải trong bộ nhớ nhằm phân phối các backdoor chưa được biết đến trước đó.
Tiếp đó, tin tặc sẽ lợi dụng lỗ hổng trong thành phần Equation Editor của Microsoft Word (một lỗi đã cũ và đã được khắc phục nhưng vẫn phổ biến với các nhóm APT của Trung Quốc) để triển khai backdoor lên hệ thống mục tiêu. Đây là sự khởi đầu của một chuỗi lây nhiễm nhiều giai đoạn phức tạp gây khó khăn cho việc phát hiện và phân tích.
Bằng việc khai thác hàm Sleep phổ biến dựa trên công nghệ anti-sanboxing, tin tặc triển mã độc lên máy nạn nhân. Sau đó, nó thu thập dữ liệu trên máy tính của nạn nhân và truy vấn WMI để biết thông tin về công cụ chống vi-rút trên hệ thống. Dữ liệu này được mã hóa bằng RC4 và base64 và được gửi qua thông qua yêu cầu GET HTTP tới máy chủ ra lệnh và kiểm soát (C2).
Sau khi xác định được mục tiêu, mã độc tiếp tục tải các mã độc DLL khác vào bộ nhớ và thực hiện thu thập thông tin thông qua hàm StarW, và gửi kết quả về máy chủ C2.
Mã độc tiếp tục tải các mã độc hại từ máy chủ C2 nhằm tạo kết nối với máy chủ kiểm soát để nhận lệnh và triển khai backdoor. Backdoor này có nhiệm vụ thu thập thông tin về các tiến trình và dịch vụ đang chạy, chụp ảnh màn hình, thực hiện đọc/ghi thông cmd.exe, tạo hoặc kết thúc các tiến trình, thu thập thông tin về máy tính, tắt máy tính... Tin tặc gọi backdoor này là VictoryDll_x86.dll.
Backdoor VictoryDll_x86.dll được phát triển từ năm 2017 và được Check Point Research phát hiện trong năm 2018 khi mẫu được gửi lên VirusTotal để quét. Khi ấy, kẻ tấn công gọi backdoor này là MClient và được triển khai trong dự án SharpM.
Theo thời gian, cuộc tấn công đã được chia thành nhiều giai đoạn để cản trở việc phát hiện và phân tích.
Nhà nghiên cứu Lotem Finkelsteen từ Check Point Software, nhận xét: “Tất cả các bằng chứng đều chỉ ra thực tế rằng đây là một nhóm tin tặc với kỹ năng cao, rất khó khăn để phát hiện các chiến dịch từ chúng. Cứ vài tuần một lần, kẻ tấn công lại sử dụng các email lừa đảo, với nội dung của mang hơi hướng chỉ đạo của chính phủ, để cố gắng tạo ra sự tin tưởng từ các cơ quan của bộ ngoại giao. Điều này cho thấy kẻ tấn công trước tiên phải tấn công một cơ quan trong chính phủ để đánh cắp và nhúng mã độc vào tài liệu để tấn công bộ ngoại giao. Nhóm tin tặc tới từ Trung Quốc này thực hiện tấn công rất có hệ thống”.
Những manh mối để xác định nhóm tin tặc có liên quan tới Trung Quốc bao gồm việc sử dụng công cụ RoyalRoad, chỉ hoạt động trong giờ làm việc theo múi giờ của Trung Quốc, ngừng hoạt động trong ngày nghỉ lao động của Trung Quốc (từ ngày 1 tháng 5 đến ngày 5 tháng 5), phần mềm độc hại có chứa các kiểm tra kết nối với Baidu.
Finkelsteen nói: “Cuối cùng, cuộc điều tra phát hiện ra một backdoor Windows mới, mà nhóm APT Trung Quốc đã phát triển từ năm 2017. Backdoor được phát triển trong vòng ba năm, trước khi nó được sử dụng trong tự nhiên. Backdoor này có khả năng lây lan mạnh hơn nhiều và có khả năng thu thập một lượng lớn dữ liệu từ một máy tính bị nhiễm độc. Chúng tôi biết rằng những kẻ tấn công không chỉ quan tâm đến dữ liệu mà còn cả những gì đang xảy ra trên máy tính cá nhân của mục tiêu bất cứ lúc nào."
Với việc sử dụng kiến trúc plug-in trong tấn công, tin tặc có thể sử dụng các tiến trình để tải xuống và cài đặt các loại mã độc khác bên cạnh backdoor VictoryDll và triển khai tấn công ở bất kỳ nơi nào.
Theo: securityweek