Cụ thể, nhóm này sử dụng các biến thể của phần mềm độc hại ShadowPad và PlugX (một phần mềm độc hại được các nhóm APT có nguồn gốc từ Trung Quốc thường xuyên sử dụng và nâng cấp). Qua theo dõi, các chuyên gia của Setinel Lab còn nhận thấy Moshen Dragon có một số điểm và kỹ thuật tương tự như các nhóm APT đã được phát hiện trước đây là RedFoxtrot và Nomad Panda.
Tuy nhiên, sau khi phân tích rõ hơn các kỹ thuật, chiến thuật được nhóm này sử dụng, các chuyên gia nhận định rằng đây là một nhóm APT mới, có tính chuyên nghiệp cao, với đội ngũ thành viên sử dụng thành thạo các công cụ mới nhất để phù hợp với các hệ thống kỹ thuật của mục tiêu, có chiến thuật và kỹ thuật riêng biệt.
Nhóm Moshen Dragon lợi dụng các sản phẩm chống virus (Mcafee, Bitdefender, Trend Micro, Kaspersky, Symantec) được cài đặt trên các máy tính sử dụng hệ điều hành Windows để tải các tệp có định dạng .dll độc hại, từ đó lây nhiễm và đánh cắp các thông tin đăng nhập và dữ liệu của các máy tính bị nhiễm.
Quy trình thực thi phần mềm bị tấn công do Moshen Dragon thực hiện
Khi các sản phẩm antivirus được chạy với các đặc quyền cao trên hệ điều hành Windows, việc tải thêm tệp độc hại có định dạng .dll cho phép kẻ tấn công có được quyền chạy mã độc trên máy tính nạn nhân mà khó bị phát hiện. Nhóm Moshen Dragon sử dụng phương pháp này để triển khai Impacket, một bộ Python được tạo ra để tạo điều kiện thuận lợi cho việc lây lan và thực thi mã từ xa thông qua Công cụ quản lý Windows (WMI).
Các tính năng của Impacket
Ngoài ra, Impacket cũng giúp đánh cắp thông tin đăng nhập, kết hợp với bộ công cụ mã nguồn mở DLLPasswordFilterImplant để nắm bắt các chi tiết về việc thay đổi mật khẩu trên một miền và ghi chúng vào tệp "C: \ Windows \ Temp \ Filter.log".
Bộ lọc mật khẩu được sử dụng để lấy cắp thông tin xác thực
Sau khi lây lan được vào các hệ thống khác, Moshen Dragon sẽ để lại một trình tải thụ động (có tên là GUNTERS), nhằm xác định tính trùng lặp giữa các máy tính của hệ thống. Trình tải phụ này sử dụng tính năng chạy ngầm của WinDivert để chặn lưu lượng đến cho đến khi nhận được chuỗi cần thiết để tự giải mã, sau đó giải nén và khởi chạy các tệp độc hại (với tên gọi SNAC.log hoặc bdch.tmp).
Theo đánh giá của các chuyên gia Sentinel Labs, việc này thể hiện sự chuyên nghiệp và tinh vi của Moshen Dragon, vì nhóm này sẽ thu thập thông tin hệ thống và xây dựng các tệp .dll chứa mã độc hại phù hợp với từng hệ thống, máy tính mà nó nhắm mục tiêu.
Cũng theo Sentinel Labs, các tệp độc hại được tải về bao gồm các biến thể của PlugX và ShadowPad, hai cửa hậu đã được nhiều nhóm APT của Trung Quốc thường xuyên sử dụng trong những năm gần đây (Mustang Panda, RedFoxtrot, Nomad Panda…). Mục tiêu cuối cùng của nhóm APT này là xâm nhập và lấy dữ liệu từ nhiều hệ thống nhất có thể.
Một phát hiện bất ngờ khác là một bộ công cụ tương tự cũng đã được các chuyên gia của hãng bảo mật Avast phát hiện và phân tích vào tháng 12/2021 (chứa tệp giả mạo oci.dll và sử dụng WinDivert) khi theo dõi cuộc tấn công có chủ đích vào hệ thống mạng của một ủy ban thuộc chính phủ Mỹ.
PlugX và Shadowpad là những bộ công cụ nổi tiếng, chứa nhiều môđun nhỏ, với tính linh hoạt cao và được các nhóm APT lớn của Trung Quốc thường xuyên sử dụng cho các hoạt động gián điệp mạng của mình. Với việc được biên dịch qua shellcode, các môđun của bộ công cụ này có thể dễ dàng vượt qua các giải pháp bảo mật và hoạt động một cách hiệu quả trên hệ thống bị tấn công.
Việc nhóm APT Moshen Dragon sử dụng các bộ công cụ nói trên kết hợp với các công cụ được nhóm tự xây dựng, sẵn sàng tùy biến công cụ để phù hợp với hệ thống của mục tiêu tấn công đã thể hiện sự chuyên nghiệp, bài bản có tổ chức cao. Khi đã xâm nhập thành công vào hệ thống của tổ chức, Moshen Dragon sẽ cài đặt backdoor, tìm kiếm, khai thác các lỗ hổng để thu thập thông tin nhằm đảm bảo việc truy cập ổn định, thường xuyên giúp đánh cắp dữ liệu của hệ thống mục tiêu một cách lâu dài đồng thời vượt qua được các hệ thống an toàn thông tin của mục tiêu tấn công.
Một số thông tin về các tệp độc hại, hạ tầng đã được nhóm APT Moshen Dragon sử dụng:
Các tệp DLL bị xâm nhập
Các tệp được tải về
Bộ lọc mật khẩu
GUNTERS
Các C&C server
Nam Trần
15:00 | 22/04/2021
15:00 | 28/11/2022
14:00 | 27/10/2023
14:00 | 10/05/2023
10:00 | 25/03/2022
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024