Tin An Ninh Mạng

Chiến dịch gián điệp không gian mạng tại Châu Á – Thái Bình Dương tồn tại 5 năm không bị phát hiện

Một nhóm hacker tiên tiến của Trung Quốc gần đây đã bị phát hiện đứng đằng sau chiến dịch gián điệp tấn công không gian mạng nhằm vào các Chính Phủ Úc, Indonesia, Philippines, Việt Nam, Thái Lan, Myanmar và Brunei. Chiến dịch này đã được thức hiện ít nhất trong 5 năm mà không bị phát hiện.

Nhóm hacker này có tên là “Naikon APT”, từng được biết đến là một trong những APT hoạt động mạnh nhất ở châu Á cho đến năm 2015. Nhóm này đã thực hiện một chuỗi các cuộc tấn công mạng ở khu vực châu Á-Thái Bình Dương (APAC) để tìm kiếm thông tin địa chính trị.

Theo báo cáo điều tra mới nhất, các nhà nghiên cứu của Check Point đã chia sẻ với The Hacker News, nhóm Naikon APT đã sử dụng backdoor được gọi là “Aria-body” để hoạt động lén lút trong suốt 5 năm qua.

Các nhà nghiên cứu cho biết: “Với đặc điểm của các nạn nhân và khả năng do nhóm trình bày, rõ ràng mục đích của nhóm là thu thập thông tin gián điệp và tình báo quốc gia của các Chính phủ mà nhóm này nhằm tới.”

Backdoor “Aria-body” đang được sử dụng để kiểm soát các mạng nội bộ của các tổ chức bị nhắm đến. Ngoài ra backdoor này còn tấn công vào các công ty và lây nhiễm cho nhiều người khác.

“Nhóm hacker không những định vị, thu thập tài liệu từ các máy tính và mạng bị nhiễm trong các cơ quan Chính phủ mà còn trích xuất các ổ dữ liệu di động, chụp màn hình và ghi lại nhật ký bàn phím và cả thu thập dữ liệu bị đánh cắp cho mục đích gián điệp.”

Chiến dịch tình báo địa chính trị

Theo tài liệu đầu tiên vào năm 2015, nhóm Naikon APT đã sử dụng các email mồi nhử như một phương thức tấn công ban đầu vào các cơ quan chính phủ, các tổ chức dân sự và quân sự cấp cao. Khi mở những email này, phần mềm gián điệp đã được cài vào thiết bị và sẽ đánh cắp các tài liệu nhạy cảm từ máy chủ command-and-control (C2) từ xa.

Mặc dù không có dấu hiệu hoạt động mới nào được báo cáo kể từ 2015, những nghiên cứu mới nhất của Check Point đã tìm ra những điểm khả nghi mới.

“Naikon đã cố gắng tấn công một trong những khách hàng của chúng tôi bằng cách mạo danh một tổ chức chính phủ nước ngoài – đó là khi họ quay trở lại radar của chúng tôi sau 5 năm không có thông tin. Chúng tôi đã nhìn thấy điểm đáng ngờ và quyết định điều tra thêm”, Lotem Finkelsteen – quản lý tình báo mối đe dọa tại Check Point cho biết.

Không chỉ có chuỗi lây nhiễm được sử dụng có chứa backdoor Aria-body mà các email độc hại cũng chứa tệp RTF (có tên là “The Indians Way.doc”). Tệp này có chứa một trình xây dựng khai thác tên là RoyalBlood. đã thả trình tải (intel.wll) trong thư mục khởi động của hệ thống Microsoft Word (%APPDATA%\Microsoft\Word\STARTUP).

RoyalBlood là một vũ khí RTF được chia sẻ chủ yếu giữa các kẻ tấn công Trung Quốc. Điều đáng chú ý là một modus operandi tương tự đã được liên kết với một chiến dịch chống lại các cơ quan chính phủ Mông Cổ tên là Vicious Panda. Chiến dịch này bị phát hiện lợi dụng đại dịch COVID-19 để cài thêm phần mềm độc hại thông qua social engineering (tấn công phi kỹ thuật).

Trong một cơ chế lây nhiễm riêng biệt, các tệp lưu trữ đã được đính kèm với một tệp thực thi hợp pháp (như Outlook hay Avast Proxy) và một thư viện độc hại để đưa trình tải vào hệ thống.

Bất kể phương pháp nào để có được chỗ đứng ban đầu, trình tải sẽ kết nối với máy chủ C2 để tải xuống payload của giai đoạn tiếp theo của Aria-body.

Các nhà nghiên cứu cho biết “Sau khi có tên miền C2, trình tải liên hệ với nó để tải xuống ở gian đoạn tiếp theo và cũng là phần cuối cùng của chuỗi lây nhiễm. Mặc dù nghe có vẻ đơn giản, những kẻ tấn công vận hành máy chủ C2 trong một số window, chỉ truy cập trực tuyến mỗi ngày vài giờ,  khiến việc truy cập vào các phần nâng cao của chuỗi lây nhiễm trở nên khó khăn hơn.”

RAT (Remote Access Trojan – Trojan kết nối từ xa) của Aria-body được đặt tên là “aria-body-dllX86.dll”. Nó được tạo bởi các tác giả của  malware, có tất cả các tính năng mong đợi của một backdoor thông thường như: tạo và xóa các tệp hay thư mục, chụp màn hình, tìm kiếm tệp, thu thập siêu dữ liệu tệp, thu thập thông tin hệ thống và vị trí và một số tính năng khác.

Một số biến thể gần đây của Aria-body cũng được trang bị khả năng ghi lại lịch sử gõ phím và thậm chí tải các phần mở rộng khác. Theo các nhà nghiên cứu, backdoor đang được tích cực phát triển.

Ngoài việc tất cả các dữ liệu được thu thập đến máy chủ C2, backdoor sẽ thực hiện bất kỳ lệnh bổ sung nào được chuyển đến.

Những phân tích sâu hơn về cơ sở hạ tầng của máy chủ C2 cho thấy một số tên miền đã được sử dụng trong thời gian dài, một địa chỉ IP được sử dụng nhiều lần với nhiều tên miền khác nhau.

Kẻ tấn cống đã đưa chiến thuật lẩn trốn lên một tầm cao mới bằng cách xâm phạm và sử dụng các máy chủ bị nhiễm backdoor làm máy chủ C2 để khởi động các cuộc tấn công thay vì truy cập bằng các máy chủ từ xa. Từ đó chuyển tiếp và định tuyến dữ liệu bị đánh cắp.

Liên kết với Naikon APT

Check Point cho biết họ phát hiện ra chiến dịch của Naikon APT dựa trên sự tương đồng về mã trong Aria-body và công cụ gián điệp năm 2015 của Kaspersky (XSControl) cũng như việc sử dụng tên miền C2 (mopo3[.]net) để dùng cho cùng một địa chỉ IP như các tên miền bên dưới (myanmartech.vicp[.]net).

Asia-Pacific Cyber Espionage Campaign

Check Point kết luận: “Mặc dù không phát hiện ra bất kỳ hoạt động nào của Naikon APT trong 5 năm qua, có vẻ như họ đã không nhàn rỗi. Bằng cách sử dụng cơ sở hạ tầng máy chủ mới, các biến thể thay đổi liên tục của trình tải, tải in-memory fileless hay loại backdoor mới, nhóm Naikon APT đã thành công trong việc ngăn các nhà phân tích truy tìm hoạt động của họ.”

Nguồn:
thehackernews.com

Add Comment

Click here to post a comment