Nhóm gián điệp APT mới của Trung Quốc tấn công vào các hãng viễn thông châu Á

15:00 | 09/05/2022 | HACKER / MALWARE

Các nhà nghiên cứu thuộc Sentinel Lab (Mỹ) đã theo dõi và phát hiện một nhóm gián điệp APT mới có tên là Moshen Dragon, nhắm vào các nhà cung cấp dịch vụ viễn thông ở Trung Á.

Cụ thể, nhóm này sử dụng các biến thể của phần mềm độc hại ShadowPad và PlugX (một phần mềm độc hại được các nhóm APT có nguồn gốc từ Trung Quốc thường xuyên sử dụng và nâng cấp). Qua theo dõi, các chuyên gia của Setinel Lab còn nhận thấy Moshen Dragon có một số điểm và kỹ thuật tương tự như các nhóm APT đã được phát hiện trước đây là RedFoxtrot và Nomad Panda.

Tuy nhiên, sau khi phân tích rõ hơn các kỹ thuật, chiến thuật được nhóm này sử dụng, các chuyên gia nhận định rằng đây là một nhóm APT mới, có tính chuyên nghiệp cao, với đội ngũ thành viên sử dụng thành thạo các công cụ mới nhất để phù hợp với các hệ thống kỹ thuật của mục tiêu, có chiến thuật và kỹ thuật riêng biệt.

Nhóm Moshen Dragon lợi dụng các sản phẩm chống virus (Mcafee, Bitdefender, Trend Micro, Kaspersky, Symantec) được cài đặt trên các máy tính sử dụng hệ điều hành Windows để tải các tệp có định dạng .dll độc hại, từ đó lây nhiễm và đánh cắp các thông tin đăng nhập và dữ liệu của các máy tính bị nhiễm.

Nhóm gián điệp APT mới của Trung Quốc tấn công vào các hãng viễn thông châu Á

Quy trình thực thi phần mềm bị tấn công do Moshen Dragon thực hiện

Khi các sản phẩm antivirus được chạy với các đặc quyền cao trên hệ điều hành Windows, việc tải thêm tệp độc hại có định dạng .dll cho phép kẻ tấn công có được quyền chạy mã độc trên máy tính nạn nhân mà khó bị phát hiện. Nhóm Moshen Dragon sử dụng phương pháp này để triển khai Impacket, một bộ Python được tạo ra để tạo điều kiện thuận lợi cho việc lây lan và thực thi mã từ xa thông qua Công cụ quản lý Windows (WMI).

Các tính năng của Impacket

Ngoài ra, Impacket cũng giúp đánh cắp thông tin đăng nhập, kết hợp với bộ công cụ mã nguồn mở DLLPasswordFilterImplant để nắm bắt các chi tiết về việc thay đổi mật khẩu trên một miền và ghi chúng vào tệp "C: \ Windows \ Temp \ Filter.log".

Bộ lọc mật khẩu được sử dụng để lấy cắp thông tin xác thực

Sau khi lây lan được vào các hệ thống khác, Moshen Dragon sẽ để lại một trình tải thụ động (có tên là GUNTERS), nhằm xác định tính trùng lặp giữa các máy tính của hệ thống. Trình tải phụ này sử dụng tính năng chạy ngầm của WinDivert để chặn lưu lượng đến cho đến khi nhận được chuỗi cần thiết để tự giải mã, sau đó giải nén và khởi chạy các tệp độc hại (với tên gọi SNAC.log hoặc bdch.tmp).

Theo đánh giá của các chuyên gia Sentinel Labs, việc này thể hiện sự chuyên nghiệp và tinh vi của Moshen Dragon, vì nhóm này sẽ thu thập thông tin hệ thống và xây dựng các tệp .dll chứa mã độc hại phù hợp với từng hệ thống, máy tính mà nó nhắm mục tiêu.

Một số chức năng đã được phát hiện của trình tải

Cũng theo Sentinel Labs, các tệp độc hại được tải về bao gồm các biến thể của PlugX và ShadowPad, hai cửa hậu đã được nhiều nhóm APT của Trung Quốc thường xuyên sử dụng trong những năm gần đây (Mustang Panda, RedFoxtrot, Nomad Panda…). Mục tiêu cuối cùng của nhóm APT này là xâm nhập và lấy dữ liệu từ nhiều hệ thống nhất có thể.

Một phát hiện bất ngờ khác là một bộ công cụ tương tự cũng đã được các chuyên gia của hãng bảo mật Avast phát hiện và phân tích vào tháng 12/2021 (chứa tệp giả mạo oci.dll và sử dụng WinDivert) khi theo dõi cuộc tấn công có chủ đích vào hệ thống mạng của một ủy ban thuộc chính phủ Mỹ.

PlugX và Shadowpad là những bộ công cụ nổi tiếng, chứa nhiều môđun nhỏ, với tính linh hoạt cao và được các nhóm APT lớn của Trung Quốc thường xuyên sử dụng cho các hoạt động gián điệp mạng của mình. Với việc được biên dịch qua shellcode, các môđun của bộ công cụ này có thể dễ dàng vượt qua các giải pháp bảo mật và hoạt động một cách hiệu quả trên hệ thống bị tấn công.

Việc nhóm APT Moshen Dragon sử dụng các bộ công cụ nói trên kết hợp với các công cụ được nhóm tự xây dựng, sẵn sàng tùy biến công cụ để phù hợp với hệ thống của mục tiêu tấn công đã thể hiện sự chuyên nghiệp, bài bản có tổ chức cao. Khi đã xâm nhập thành công vào hệ thống của tổ chức, Moshen Dragon sẽ cài đặt backdoor, tìm kiếm, khai thác các lỗ hổng để thu thập thông tin nhằm đảm bảo việc truy cập ổn định, thường xuyên giúp đánh cắp dữ liệu của hệ thống mục tiêu một cách lâu dài đồng thời vượt qua được các hệ thống an toàn thông tin của mục tiêu tấn công.

Một số thông tin về các tệp độc hại, hạ tầng đã được nhóm APT Moshen Dragon sử dụng:

Các tệp DLL bị xâm nhập

ef3e558ecb313a74eeafca3f99b7d4e038e11516
3c6a51961aa328ba507796153234309a5e83bee3
fae572ad1beab78e293f756fd53cf71963fdb1bd
308ed56dc1fbc98b574f937d4b005190c878416f
55e89f458b5f5642300dd7c50b444232e37c3fa7

Các tệp được tải về

e9e8c2e720f5179ff1c0ac30ce017224ac0b2f1b
b6c6c292cbd35298a5f055448177bcfd5d0b23bf
2294ecbbb065c517bd0e01f3f01aabd0a0402f5a
7021a62b68751b7a3a2984b2996139aca8d19fec

Bộ lọc mật khẩu

c4f1177f68676b770934b142f9c3e2c4eff7f164

GUNTERS

bb68816f324f2ac4f0d4756b66af67d01c8b6e4e
4025e14a7f8928753ba06ad155944624069497dc
f5b8ab4a7d9c723c2b3b842b49f66da2e1697ce0

Các C&C server

freewula.strangled [.] net
szuunet.strangled [.] net
final.staticd.dynamic-dns [.] net
dhsg123.jkub [.] com
greenhugeman.dns04 [.] com
gfsg.chickenkiller [.] com
pic.farisrezky [.] com

Nam Trần

‹ › ×

Tin liên quan

FBI cảnh báo các nhóm APT đang tích cực khai thác lỗ hổng trên VPN

15:00 | 22/04/2021

FBI cùng Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) đã cảnh báo các nhóm tin tặc APT được nhà nước bảo trợ đang tích cực khai thác các lỗ hổng bảo mật trong hệ điều hành an ninh mạng của một công ty tại Mỹ, gây ảnh hưởng đến các sản phẩm SSL VPN của công ty này.

Gia tăng của các chiến dịch tấn công trên thiết bị di động

15:00 | 28/11/2022

Các nhà nghiên cứu tại Kaspersky phát hiện một chiến dịch tấn công bằng phần mềm gián điệp trên Android. Với tên gọi là SandStrike, các tin tặc đã sử dụng một ứng dụng VPN độc hại để tải phần mềm gián điệp trên thiết bị Android, từ đó đánh cắp thông tin đăng nhập và dữ liệu của người dùng.

Báo cáo xu hướng tấn công APT trong quý 3/2023

14:00 | 27/10/2023

Hàng năm, nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) của Kaspersky sẽ công bố các bản tóm tắt mỗi quý về các hoạt động tấn công có chủ đích (APT). Đây là một hoạt động thường niên để cung cấp cái nhìn tổng quan thông tin về các mối đe dọa được duy trì trong suốt hơn 5 năm qua của Kaspersky. Bài viết này trình bày về các xu hướng tấn công APT nổi bật trong quý 3/2023 dựa trên báo cáo mới đây của hãng bảo mật đến từ Nga.

Tình hình an ninh mạng một số nước châu Á năm 2022

14:00 | 10/05/2023

Năm 2022, do ảnh hưởng của đại dịch Covid-19 và xung đột Nga - Ukraine, tình hình quốc tế trở nên căng thẳng, các cuộc tấn công mạng có chủ đích gia tăng, không gian mạng đã trở thành một lĩnh vực của cạnh tranh địa chính trị. Trong bối cảnh quản trị không gian mạng toàn cầu thay đổi nhanh chóng, khu vực châu Á ngày càng đóng vai trò quan trọng hơn. Nhiều quốc gia châu Á không ngừng nâng cao năng lực quản trị mạng trong nước và tham gia tích cực vào cạnh tranh không gian mạng toàn cầu.

Nhóm tin tặc Lapsus$ đánh cắp gần 37GB mã nguồn của Microsoft

10:00 | 25/03/2022

Nhóm tin tặc Lapsus$ vừa tuyên bố tấn công hãng công nghệ Microsoft, sau khi đăng tải một file được cho là chứa một phần mã nguồn của Bing và Cortana với gần 37GB dữ liệu. Trước đó, Lapsus$ đã tấn công vào NVIDIA, Samsung.

Tin cùng chuyên mục

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:00 | 23/02/2024

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.

Lỗ hổng Bluetooth mới có thể cho phép tin tặc chiếm quyền điều khiển trên các thiết bị Android, Apple và Linux

14:00 | 19/12/2023

Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.

Tin tặc Trung Quốc tiến hành các cuộc tấn công gián điệp nhằm vào các tổ chức của Campuchia

10:00 | 22/11/2023

Các nhà nghiên cứu an ninh mạng của Palo Alto Networks Unit 42 (Đơn vị 42) đã phát hiện ra các hoạt động mạng độc hại do các nhóm tin tặc nổi tiếng của Trung Quốc dàn dựng nhằm vào 24 tổ chức thuộc chính phủ Campuchia.