Theo các nhà nghiên cứu của Trend Micro đang thực hiện theo dõi hoạt động của nhóm tin tặc thì chiến dịch này đã được tiến hành từ đầu năm 2022 và tập trung chủ yếu vào các tổ chức chính phủ. Trong số các tổ chức mà nhóm tin tặc này tấn công, chúng đã thực hiện xâm phạm 48 tổ chức của chính phủ, trong đó có 10 tổ chức là Bộ Ngoại giao và nhắm mục tiêu vào 49 cơ quan chính phủ khác.
Bản đồ nạn nhân (màu đỏ) và mục tiêu (màu vàng) của nhóm tin tặc Earth Krahang
Nhóm tin tặc này đã thực hiện khai thác các máy chủ kết nối Internet dễ bị tấn công và sử dụng các email lừa đảo trực tuyến để triển khai các backdoor tùy chỉnh cho hoạt động gián điệp mạng.
Earth Krahang lợi dụng việc xâm nhập thành công trên cơ sở hạ tầng của chính phủ bị vi phạm để tấn công các chính phủ khác, xây dựng máy chủ VPN trên các hệ thống bị xâm nhập và thực hiện hành vi bẻ khóa mật khẩu đối với các tài khoản email có giá trị.
Nhóm tin tặc sử dụng các công cụ mã nguồn mở để quét các máy chủ công khai nhằm tìm các lỗ hổng cụ thể, chẳng hạn như CVE-2023-32315 (Openfire) và CVE-2022-21587 (Control Web Panel).
Bằng cách khai thác những lỗ hổng này, chúng triển khai các webshell để có được quyền truy cập trái phép và thiết lập quyền kiểm soát trong mạng nạn nhân. Ngoài ra, chúng còn sử dụng lừa đảo trực tuyến làm phương tiện truy cập ban đầu, với các tin nhắn có chủ đề xoay quanh vấn đề địa chính trị để dụ người nhận mở tệp đính kèm hoặc nhấp vào liên kết độc hại.
Khi thực hiện xâm nhập thành công vào hệ thống mạng mục tiêu, Earth Krahang sử dụng cơ sở hạ tầng của nạn nhân để lưu trữ các tải trọng độc hại, lưu lượng tấn công proxy và sử dụng các tài khoản email chính phủ đã bị tấn công để nhắm mục tiêu vào các tài khoản cùng tổ chức hoặc các chính phủ khác bằng các email lừa đảo trực tuyến.
Báo cáo của Trend Micro cho biết: “Chúng tôi nhận thấy rằng Earth Krahang sử dụng hàng trăm địa chỉ email từ mục tiêu của họ trong giai đoạn trinh sát. Trong một trường hợp, kẻ tấn công đã sử dụng hộp thư bị xâm nhập từ một cơ quan chính phủ để gửi tệp đính kèm độc hại tới 796 địa chỉ email thuộc cùng cơ quan đó”.
Tập lệnh được sử dụng để gửi email từ tài khoản bị xâm nhập
Những email này chứa các tệp đính kèm độc hại tạo ra các backdoor xâm nhập vào máy tính của nạn nhân, lây lan sự lây nhiễm và tránh bị phát hiện. Trend Micro cho biết những kẻ tấn công sử dụng các tài khoản Outlook bị xâm nhập để thực hiện đăng nhập Exchange và các tập lệnh Python chuyên lấy cắp email từ máy chủ Zimbra cũng bị phát hiện.
Tập lệnh Python để thu thập dữ liệu email
Nhóm tin tặc cũng xây dựng các máy chủ VPN trên các máy chủ bị xâm nhập bằng cách sử dụng SoftEtherVPN để thiết lập quyền truy cập vào mạng riêng của nạn nhân và nâng cao khả năng di chuyển ngang trong các mạng đó. Sau khi thiết lập sự hiện diện của mình trên mạng, Eath Krahang triển khai phần mềm độc hại và các công cụ như Cobalt Strike, RESHELL và XDealer, cung cấp khả năng thực thi lệnh và thu thập dữ liệu.
XDealer là một trong hai backdoor tinh vi và phức tạp vì nó hỗ trợ Linux và Windows, đồng thời có thể chụp ảnh màn hình, ghi lại các lần nhấn phím và chặn dữ liệu clipboard.
Mô hình tổng quan về chuỗi tấn công
Trend Micro cho biết ban đầu họ tìm thấy mối liên hệ giữa Earth Krahang và Earth Lusca, có liên quan đến Trung Quốc, dựa trên sự chồng chéo chỉ huy và kiểm soát (C2), nhưng các chuyên gia cho rằng đây là hai nhóm riêng biệt, có thể cả hai nhóm này đều hoạt động dưới sự chỉ đạo của Trung Quốc và hoạt động như một lực lượng đặc nhiệm chuyên trách gián điệp mạng nhằm vào các cơ quan chính phủ.
Ngoài ra, công cụ RESHELL trước đây đã được liên kết với nhóm Gallium, XDealer và Luoyu. Tuy nhiên, theo Trend Micro cho rằng những công cụ này có thể được chia sẻ giữa các nhóm tin tặc và mỗi nhóm sẽ sử dụng một khóa mã hóa riêng biệt.
Quốc Trường
14:00 | 05/03/2024
09:00 | 01/04/2024
09:00 | 06/03/2024
10:00 | 21/02/2024
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024