Phát hiện chiến dịch gián điệp mạng tại châu Á - Thái Bình Dương

20/03/2017
113
356 bài viết
Phát hiện chiến dịch gián điệp mạng tại châu Á - Thái Bình Dương
Naikon 1.jpg
Một nhóm tin tặc của Trung Quốc vừa bị phát hiện đứng sau chiến dịch gián điệp mạng nhắm vào cơ quan chính phủ của Úc, Indonesia, Philippines, Việt Nam, Thái Lan, Myanmar và Brunei. Không ai biết về hoạt động gián điệp này trong ít nhất 5 năm qua và nó vẫn đang tiếp diễn.

Nhóm tin tặc 'Naikon APT' từng được biết đến là một trong những nhóm APT (tấn công có chủ đích) hoạt động mạnh nhất ở châu Á cho đến năm 2015, đã thực hiện một loạt các cuộc tấn công mạng tại khu vực châu Á - Thái Bình Dương nhằm thu thập thông tin địa chính trị.

Theo báo cáo điều tra mới nhất từ công ty Check Point, trái với nghi ngờ “án binh bất động” trong 5 năm qua, nhóm Naikon APT đang sử dụng một backdoor mới, có tên “Aria-body” để lén lút hoạt động.

Các nhà nghiên cứu từ Check Point cho biết backdoor “Aria-body” được sử dụng để kiểm soát mạng nội bộ của tổ chức mục tiêu, đồng thời tấn công các đơn vị khác để tiếp tục lây nhiễm.

Nhóm không chỉ định vị và thu thập tài liệu cụ thể từ các máy tính và mạng bị lây nhiễm bên trong các cơ quan chính phủ, mà còn trích xuất các ổ dữ liệu di động, chụp ảnh màn hình và keylogging và thu thập thông tin đánh cắp cho mục tiêu gián điệp.

Chiến dịch tình báo địa - chính trị

Theo báo cáo lần đầu vào năm 2015, nhóm Naikon APT bắt đầu cuộc tấn công bằng thủ đoạn đính kèm phần mềm gián điệp vào các email gửi tới các cơ quan chính phủ, các tổ chức dân sự và quân sự cấp cao. Khi người dùng mở email, phần mềm gián điệp được cài đặt trên máy nạn nhân sẽ gửi các tài liệu tới máy chủ C2 điều khiển từ xa.

Mặc dù không có dấu hiệu hoạt động mới được báo cáo kể từ đó, nghiên cứu mới nhất của Check Point phát hiện Naikon đã cố gắng tấn công một trong những khách hàng của hãng bằng cách mạo danh một chính phủ nước ngoài.

Không chỉ cài backdoor Aria-body, các email độc hại còn chứa file RTF (có tên là "The Indians Way.doc") có giấu RoyalBlood - một builder khai thác - để thả loader (intel .wll) trong thư mục khởi động Microsoft Word ("%APPDATA%\Microsoft\Word\STARTUP").\
Naikon 2.jpg
RoyalBlood được chia sẻ chủ yếu giữa các nhóm tin tặc của Trung Quốc. Điều đáng chú ý là một phương thức tấn công tương tự liên quan tới chiến dịch nhắm tới các cơ quan chính phủ Mông Cổ, có tên Vicy Panda, đã bị phát hiện lợi dụng dịch corona để cài phần mềm độc hại thông qua tấn công phi kỹ thuật social engineering.

Một trong những cơ chế được hacker sử dụng để lây nhiễm mã độc là đóng gói file thực thi hợp lệ (như Outlook và Avast Proxy) cùng thư viện độc hại có nhiệm vụ cài loader vào hệ thống mục tiêu trong các file lưu trữ.

Dù sử dụng phương thức nào thì sau đó loader này đều thiết lập kết nối với máy chủ C2 để tải về backdoor Aria-body.

Các nhà nghiên cứu cho biết tuy có vẻ đơn giản nhưng những kẻ tấn công chỉ mở máy chủ C&C trong một cửa sổ hạn chế và chỉ truy cập trực tuyến vài giờ mỗi ngày khiến việc tiếp cận chuỗi lây nhiễm trở nên khó khăn hơn.

Aria-body có tất cả các tính năng của một backdoor điển hình: tạo và xóa các file và thư mục, chụp ảnh màn hình, tìm kiếm file, thu thập các file siêu dữ liệu, thu thập thông tin hệ thống và vị trí.

Một số biến thể gần đây của Aria-body cũng được trang bị khả năng ghi lại hoạt động bàn phím và thậm chí tải các phần mở rộng khác.

Ngoài việc chuyển tất cả các dữ liệu được thu thập đến máy chủ C2, backdoor này cũng sẽ thực thi bất kỳ lệnh bổ sung nào.

Phân tích sâu hơn về cơ sở hạ tầng máy chủ C2 cho thấy một số tên miền đã được sử dụng trong thời gian dài, với cùng một địa chỉ IP được sử dụng cho nhiều hơn một tên miền.

Nguy hiểm hơn, tin tặc đã xâm nhập và sử dụng các máy chủ trong các cơ quan bị lây nhiễm làm máy chủ C2 để khởi động các cuộc tấn công, chuyển tiếp và định tuyến dữ liệu bị đánh cắp, thay vì mạo hiểm truy cập vào các máy chủ từ xa và có nguy cơ bị phát hiện.

Liên hệ với nhóm Naikon APT

Theo nhận định của Check Point, nhóm Naikon APT đứng sau chiến dịch này vì có sự tương đồng về mã giữa Aria-body và công cụ gián điệp XSControl được Kaspersky phát hiện vào năm 2015, cũng như việc các tên miền mopo3[.]net myanmartech.vicp [.] net có cùng một địa chỉ IP.
Naikon 3.jpg

Theo The Hacker News
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Thẻ
apt gián điệp mạng naikon apt
Bên trên