Nhóm gián điệp mạng khét tiếng Sofacy trở lại với công cụ lây nhiễm mới

15:11 | 27/01/2016 | HACKER / MALWARE

Nhóm Nghiên cứu và Phân tích Toàn cầu Kaspersky Lab (GReAT) vừa phát hiện những cuộc tấn công mới từ nhóm Sofacy trong đó sử dụng nhiều kỹ xảo tiên tiến được thiết kế để phục vụ tấn công lâu dài và hoạt động ẩn danh nguy hiểm hơn trên hệ thống mục tiêu.

Nhóm gián điệp mạng khét tiếng Sofacy trở lại với công cụ lây nhiễm mới

Sofacy (được biết với những cái tên “Fancy Bear”, “Sednit”, “STRONTIUM” và “APT28) là mối đe dọa cấp cao đến từ Nga hoạt động ít nhất từ năm 2008, phần lớn nhắm vào tổ chức quân đội và chính phủ trên toàn thế giới. Kể từ khi bị phát hiện vào năm 2014, nhóm này chưa từng dừng lại. Thêm vào đó, các chuyên gia Kaspersky Lab còn phát hiện nhiều công cụ mới và cao cấp hơn trong kho vũ khí tấn công của Sofacy.

Một số tính năng của bộ công cụ mới:

- Có thể hoán đổi cho nhau: Kẻ tấn công sử dụng hàng loạt công cụ ngầm để lây nhiễm một mục tiêu với nhiều công cụ độc hại khác nhau, một trong số đó hoạt động như một công cụ tái nhiễm khi một công cụ khác bị giải pháp an toàn chặn lại hoặc xóa sổ.

- Có thể tách rời được: Kẻ tấn công dùng đơn bộ hóa phần mềm độc hại, thêm nhiều tính năng của công cụ ngầm vào những môđun riêng biệt nhằm ẩn mình tốt hơn trong hệ thống bị tấn công. Kaspersky Lab nhận thấy đây là xu hướng ngày càng phổ biến trong những cuộc tấn công có mục tiêu.

- Tấn công hệ thống air-gapped: trong nhiều cuộc tấn công gần đây (2015), nhóm Sofacy đã sử dụng phiên bản lây nhiễm đánh cắp từ USB, cho phép chúng sao chép dữ liệu từ máy tính trong hệ thống air-gapped.

Thủ thuật khôi phục và công cụ đánh cắp dữ liệu

Năm 2015, với những làn sóng tấn công, một tổ chức trong lĩnh vực quốc phòng bị tấn công bởi một phiên bản của AZZY – trojan thường được Sofacy sử dụng để thâm nhập vào thiết bị và tải xuống nhiều công cụ độc hại bổ sung. Nhưng những gì xảy ra tiếp theo lại khá bất thường: chỉ 1 tiếng đồng hồ sau khi chặn trojan, một phiên bản khác của nó được kẻ tấn công tạo ra và cài vào PC mục tiêu. Phiên bản này trốn công nghệ AV thông thường, nhưng vẫn bị phát hiện bởi hệ thống phụ phòng chống xâm nhập máy chủ (HIPS).

Tấn công nhanh chóng, đều đặn của Sofacy đã làm chuyên gia Kaspersky Lab chú ý và họ bắt đầu điều tra sâu hơn. Rất nhanh sau đó họ đã phát hiện ra phiên bản mới của trojan được tải xuống không thông qua khai thác zero-day (đây được xem là thói quen của Sofacy) mà bằng công cụ lây nhiễm khác (được đặt tên là “msdeltemp.dll”).

Trojan “msdeltemp.dll” là công cụ download cho phép tin tặc gửi lệnh và lấy dữ liệu từ máy bị lây nhiễm, cũng được dùng để tải trojan tinh vi hơn vào hệ thống. Nếu trojan thứ yếu bị phần mềm an ninh chặn lại, tin tặc vẫn có thể sử dụng trojan msdeltemp.dll để lấy phiên bản mới từ C&C và cài đặt lại trên máy bị tấn công.

Đây là ví dụ sử dụng nhiều trojan để đạt khả năng phục hồi cao nhất. Thủ thuật này không mới và Sofacy cũng đã sử dụng từ trước. Tuy nhiên, chúng sử dụng dropper để cài đặt 2 trojan SPLM và AZZY. Nếu 1 trong 2 bị phát hiện thì trojan còn lại vẫn giúp kẻ tấn công có quyền tiếp tục truy cập. Trong những đợt tấn công mới, phương thức của chúng đã thay đổi: chúng sẽ tải xuống phiên bản mới của AZZY để thay thế cho phiên bản bị chặn mà không cần phải thực hiện toàn bộ quá trình lây nhiễm như ban đầu.

Tách chức năng liên lạc của C&C khỏi trojan chính cũng là cách giảm sự chú ý đến nó. Vì nó không trực tiếp truyền dữ liệu ra ngoài máy tính bị tấn công nên dưới góc độ an ninh, nó sẽ ít gây sự nghi ngờ hơn.

Bên cạnh việc thay đổi phương thức phục hồi, các chuyên gia Kaspersky Lab còn phát hiện ra nhiều phiên bản môđun USB dùng để đánh cắp của Sofacy giúp lấy dữ liệu từ mạng air-gapped. Module USBSTEALER được thiết kế tùy thuộc vào quy luật mà kẻ tấn công đưa vào để theo dõi ổ đĩa di động và lấy file từ chúng. Dữ liệu bị đánh cắp được sao chép vào thư mục ẩn, sau đó kẻ tấn công sẽ lấy nó ra nhờ các phiên bản của AZZY.

Những phiên bản đầu tiên của thế hệ môđun USB dùng để đánh cắp đã có từ tháng 2/2015 và dường như chỉ tập trung vào mục tiêu cấp cao.

Để bảo vệ tổ chức trước các cuộc tấn công tinh vi có chủ đích, bao gồm từ Sofacy, Kaspersky Lab khuyến nghị sử dụng phương pháp đa tầng có kết hợp của:Công nghệ truyền thống chống phần mềm độc hại; Quản lý bản vá lỗi; Phát hiện xâm nhập máy chủ vàChiến lược whilelist và chặn mặc định

‹ › ×

Tin cùng chuyên mục

Phân tích phần mềm độc hại DinodasRAT trên Linux

19:00 | 30/04/2024

DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Hệ thống công nghệ thông tin của PVOIL bị tấn công ransomware

09:00 | 03/04/2024

Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.

Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

14:00 | 19/02/2024

Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).