Earth Lusca - nhóm tin tặc Trung Quốc mới nổi

09:00 | 25/02/2022 | HACKER / MALWARE

Một nhóm tin tặc mới được cho là có liên quan đến chính phủ Trung Quốc được các nhà nghiên cứu tại công ty an ninh mạng Trend Micro (Nhật Bản) phát hiện, đặt tên là Earth Lusca. Nhóm tin tặc này không chỉ được nhà nước hậu thuẫn để thực hiện các chiến dịch gián điệp mạng chống lại các quốc gia khác, mà còn đang tìm kiếm lợi nhuận từ các cuộc tấn công vào một số công ty hoạt động đánh bạc ở Trung Quốc và nhiều nền tảng tiền điện tử khác.

Earth Lusca - nhóm tin tặc Trung Quốc mới nổi

Ông Andy Norton, một quan chức về rủi ro mạng châu Âu tại công ty an ninh mạng Armis (California) cho biết, "mặc dù đây không phải là mối đe dọa lớn đối với các quốc gia, nhưng các hoạt động và mục tiêu của Earth Lusca dường như phù hợp với dự luật của một chương trình nghị sự do chính phủ Trung Quốc định hướng. Nhiều quốc gia trên thế giới sử dụng mạng như một phương pháp để thu thập thông tin tình báo chính trị, dù đó là để nắm bắt và điều chỉnh chính sách đối ngoại, hiểu rõ hơn về sở hữu trí tuệ hay giám sát hoạt động của công dân”.

Norton cho biết, các thông tin được nêu trong báo cáo của Trend Micro đã được biết đến bao gồm việc sử dụng các payload giả mạo. Chẳng hạn như sử dụng các máy khai thác tiền điện tử Monero (XMR), chúng thường cố tình được sử dụng để đánh lạc hướng sự chú ý để nhắm mục đích vào một cuộc tấn công tinh vi hơn.

Các nhà nghiên cứu của Trend Micro đã bắt đầu theo dõi các hoạt động của Earth Lusca vào giữa năm 2021 và đã liên kết nhóm tin tặc này với các cuộc tấn công được biết đến công khai nhắm đến các mục tiêu bao gồm:

Các tổ chức chính phủ ở Đài Loan, Thái Lan, Philippin, Việt Nam, Các Tiểu vương quốc Ả Rập Thống nhất, Mông Cổ và Nigeria;
Các cơ sở giáo dục ở Đài Loan, Hồng Kông, Nhật Bản và Pháp;
Các cơ quan truyền thông ở Đài Loan, Hồng Kông, Úc, Đức và Pháp;
Các tổ chức và phong trào chính trị ủng hộ dân chủ và nhân quyền ở Hồng Kông;
Tổ chức nghiên cứu COVID-19 tại Hoa Kỳ;
Các công ty viễn thông ở Nepal;
Các phong trào tôn giáo bị cấm ở Trung Quốc;
Các nền tảng giao dịch tiền điện tử khác nhau.

Đánh bạc và giao dịch tiền điện tử là bất hợp pháp ở Trung Quốc. Các nhà nghiên cứu cho rằng, nhóm tin tặc này dường như được chính phủ Trung Quốc hậu thuẫn để nhắm mục tiêu vào các nền tảng với các công cụ khai thác tiền điện tử, cụ thể ở đây là tiền điện tử Monero.

Quy trình hoạt động của Earth Lusca (Nguồn: Trend Micro)

Các nhà nghiên cứu cho biết, họ đã thấy sự tương đồng giữa các kỹ thuật, chiến thuật và quy trình của nhóm này với APT41 (còn được gọi là Winnti, Wicked Spider, Winnti Umbrella và Barium). Trên thực tế, Earth Lusca đã triển khai phần mềm độc hại Winnti trong các giai đoạn nâng cao của chiến dịch.

Tuy nhiên, bất chấp sự tương đồng đó, họ vẫn coi Earth Lusca là một tác nhân đe dọa riêng biệt. Các nhà nghiên cứu đã nhóm quy trình hoạt động của Earth Lusca thành hai cụm:

Cụm thứ nhất: Cụm này được xây dựng bằng cách sử dụng các máy chủ riêng ảo được thuê từ một nhà cung cấp dịch vụ có tên là Vultr. Chúng được sử dụng để thực hiện các hoạt động lừa đảo trực tuyến và hoạt động như một máy chủ điều khiển ra lệnh cho phần mềm độc hại.

Cụm thứ hai: Ngoài hoạt động như một máy chủ C&C (nhưng đối với kỹ thuật Beacon của Cobalt Strike), các nhà nghiên cứu cho biết cụm này hoạt động như một công cụ tìm kiếm các lỗ hổng trong các máy chủ công khai và xây dựng các đường hầm lưu lượng trong mạng của mục tiêu. Không giống như VPS được sử dụng trong cụm đầu tiên, cụm thứ hai chứa các máy chủ bị xâm nhập chạy phiên bản mã nguồn mở cũ của Oracle GlassFish Server.

Theo các nhà nghiên cứu, Earth Lusca đã sử dụng ba hướng tấn công chính. Hai trong số đó là lừa đảo trực tuyến và tấn công lỗ hổng có liên quan đến thủ đoạn lừa đảo phi kỹ thuật và hướng tấn công thứ ba là khai thác các lỗ hổng đã biết trong các sản phẩm như Microsoft Exchange Server (ProxyShell) và Oracle GlassFish.

Sau khi khai thác thành công, Earth Lusca sẽ triển khai một trong số các tải trọng hoặc phần mềm độc hại được liệt kê dưới đây để do thám, duy trì sự tồn tại và di chuyển ngang trong mạng: Cửa hậu Doraemon; Cửa hậu FunnySwitch; Cửa hậu ShadowPad; Phần mềm độc hại Winnti; Web shell AntSword và Web shell Behinder.

Theo các nhà nghiên cứu, các tác nhân đe dọa cũng đã triển khai các máy đào tiền điện tử để khai thác Monero, tuy nhiên lợi nhuận kiếm được từ các hoạt động khai thác tiền điện tử có vẻ thấp.

Pascal Geenens, Giám đốc tình báo về mối đe dọa tại Radware nói rằng: "Các nhóm tin tặc có liên hệ với Trung Quốc thường không chạy theo lợi ích kinh tế nhưng một khi việc tấn công các mục tiêu phục vụ đúng theo mục đích của chính phủ Trung Quốc thì các thành viên nhóm tin tặc sẽ được phép hoạt động theo mục đích tài chính của riêng họ".

Geenens cũng nói rằng: "Không có khả năng chính phủ Trung Quốc tham gia vào việc đánh cắp thông tin từ các công ty. Tuy nhiên, với lệnh cấm tiền điện tử và cờ bạc tại Trung Quốc, cùng với việc thúc đẩy thanh toán tiền điện tử trên nền tảng kỹ thuật số do chính phủ quản lý thì nó đáng để chúng ta theo dõi tình hình".

Anh Nguyễn

‹ › ×

Tin liên quan

Nhóm tình báo công nghiệp SowBug đánh cắp bí mật ngoại giao từ năm 2015

08:00 | 28/11/2017

Mới đây, các nhà nghiên cứu của công ty bảo mật Symantec phát hiện một nhóm tin tặc và tình báo công nghiệp đã thực hiện một chuỗi các cuộc tấn công vào các cơ quan chính phủ ở Nam Mỹ và Đông Nam Á nhằm đánh cắp thông tin nhạy cảm từ năm 2015.

Thu thập thông tin tình báo từ các nguồn mở trong cuộc cách mạng công nghiệp 4.0

14:00 | 03/08/2020

Cách mạng công nghiệp 4.0 là cuộc cách mạng số, đánh dấu sự phát triển của Internet vạn vật (IoT), các dịch vụ kết nối Internet (IoS)… Đây là thời đại mà hàng tỷ người sử dụng Internet để giao tiếp và trao đổi dữ liệu. Việc này đem lại rất nhiều lợi ích cho xã hội. Tuy nhiên, cũng tồn tại rất nhiều rủi ro như: tội phạm mạng, các nhóm khủng bố, nguy cơ lây nhiễm mã độc…. Vì vậy, một trong những cách thức chống lại những rủi ro này là việc sử dụng trí thông minh nguồn mở (Open Source Intelligence - OSINT), để thu thập thông tin về các đối tượng khả nghi, các nhân tố chính trong các tổ chức phản động.

Phân loại thông tin tình báo mối đe dọa an ninh mạng

07:00 | 23/06/2020

Công việc của những chuyên gia an ninh mạng dường như không bao giờ ngơi nghỉ. Nghiên cứu của Đại học Maryland định lượng tốc độ trung bình để hacker thực hiện mỗi tấn công là 39 giây. Khi quá trình số hóa ngày càng tăng tốc trên toàn cầu cũng là lúc tội phạm mạng liên tục tìm ra phương thức mới để khai thác điểm yếu trong cơ sở hạ tầng công nghệ thông tin của tổ chức. Trong bối cảnh không thể đoán trước, liệu một tổ chức có thể đón đầu về xu hướng an ninh mạng sắp tới hay không? Khi nói đến “đón đầu”, một trong những chìa khóa để đảm bảo an ninh mạng là sự chủ động, thay vì chỉ phản ứng khi xảy ra sự cố bảo mật mạng. Để làm được điều này, thông tin tình báo mối đe dọa an ninh mạng đóng vai trò quan trọng để bất kỳ tổ chức nào tránh được tấn công mạng. Dưới đây Tạp chí An toàn thông tin giới thiệu bài viết của ông Yeo Siang Tiong, Tổng Giám đốc Kapersky khu vực Đông Nam Á.

Nhóm tin tặc Killnet đánh sập trang web của Anonymous

14:00 | 02/03/2022

Trước động thái nhóm hacker nổi tiếng Anonymous khởi động chiến dịch tấn công mạng nhắm vào Nga, nhằm đánh sập một số trang web liên quan đến chính phủ của quốc gia này trong thời gian ngắn, nhóm tin tặc Killnet ngay láp tức phản công đánh sập trang web của Anonymous.

Cạnh tranh địa kỹ thuật số nhìn từ chiến lược con đường tơ lụa số của Trung Quốc

15:00 | 19/03/2022

Thuật ngữ “cạnh tranh địa kỹ thuật số” được xuất hiện vào thế kỷ 21, khi các cường quốc trên thế giới tập trung trong cuộc đua tạo lợi thế cạnh tranh công nghệ. Với mục tiêu đưa Trung Quốc trở thành nước dẫn đầu toàn cầu, Sáng kiến Vành đai và Con đường (Belt and Road Initiative - BRI) và Con đường tơ lụa số (Digital Silk Road - DSR) là những chiến lược quan trọng của quốc gia này.

Tin cùng chuyên mục

Tấn công giả mạo FatalRAT nhắm vào các ngành công nghiệp ở APAC sử dụng dịch vụ đám mây của Trung Quốc

09:00 | 07/03/2025

Nhiều tổ chức, doanh nghiệp ở khu vực Châu Á - Thái Bình Dương (APAC) đã trở thành mục tiêu của các cuộc tấn công giả mạo nhằm phát tán một loại phần mềm độc hại có tên gọi là FatalRAT.

Lỗ hổng nghiêm trọng trong Apache Ignite cho phép thực thi mã từ xa

14:00 | 04/03/2025

Mới đây, một lỗ hổng có mã định danh CVE-2024-52577 có khả năng thực thi mã từ xa đã được phát hiện trong Apache Ignite, một cơ sở dữ liệu phân tán mã nguồn mở phổ biến dành cho điện toán hiệu năng cao.

DeepSeek bị tin tặc tấn công và mạo danh lừa đảo

22:00 | 31/01/2025

Sau khi gây sốt trên toàn cầu, công ty trí tuệ nhân tạo Trung Quốc DeepSeek liên tiếp gặp sự cố.

Cảnh báo hình thức tấn công mới trong hệ sinh thái Web3

08:00 | 29/01/2025

Một chiến thuật tấn công mới đang được tin tặc sử dụng thông qua cách thức "giả mạo mô phỏng giao dịch" để đánh cắp tiền điện tử, mới đây trên ScamSniffer (trang web chuyên đăng tải các bài báo về phòng, chống lừa đảo mạng) đã công bố một vụ tấn công sử dụng hình thức này gât thiệt hại 143,45 Ethereum (ETH) với trị giá khoảng 460.000 USD.