Chủ đề

Tin tặc Trung Quốc sử dụng mã độc mới tấn công chính phủ Anh

(Không gian mạng) - Ngày 09/03, hãng bảo mật NCC Group (Anh) báo cáo phát hiện nhóm gián điệp mạng APT15 sử dụng mã độc mới, nhắm vào một tổ chức cung cấp dịch vụ cho chính phủ Anh.

1614581

Vụ tấn công này của nhóm APT15 (còn có tên: Ke3chang, Mirage, Vixen Panda, Playful Dragon) bị phát hiện từ năm 2017. Mới đây, NCC Group bắt đầu phân tích hoạt động của APT15 khi nhóm này tấn công vào một trong những khách hàng của hãng, một công ty quốc tế chuyên cung cấp nhiều loại hình dịch vụ cho chính phủ Anh.

Các nhà nghiên cứu tin rằng nhóm này nhắm đến nhiều phòng ban chính phủ Anh và ngành công nghệ quân sự. NCC không đưa ra quy kết nào về thủ phạm vụ tấn công. Tuy nhiên, trong buổi thuyết trình của mình tại Hội nghị Phân tích An ninh của Kaspersky (SAS), chuyên gia cấp cao về mã độc tại NCC Zaki cho biết, thời gian hoạt động của APT15 trùng với khung giờ làm việc ở Đông Á.

APT15 hoạt động ít nhất từ năm 2010, sử dụng mã độc của nhóm và khai thác các lỗ hỗng trên Word, Adobe Reader, Java, nhắm vào nhiều tổ chức trên toàn thế giới. Qua nhiều năm, nhóm đã phát triển thêm nhiều công cụ và kỹ thuật tấn công cho mình, công cụ mới đây mà NCC Group báo cáo là 2 backdoor RoyalCLI và RoyalDNS.

Backdoor RoyalCLI được xem là mã độc kế nhiệm của BS2005, từng được nhóm APT15 sử dụng thường xuyên. RoyalCLI lợi dụng các chương trình mã hóa và mã hóa tương đồng, cả 2 đều liên lạc với máy chủ C&C qua Internet Explorer sử dụng giao diện IWebBrowser2. Backdoor này sử dụng dấu nhắc lệnh Windows (cmd.exe) để thực thi phần lớn các lệnh của mã độc, được thiết kế để sao chép và chỉnh sửa tập cmd.exe, từ đó cho phép mã độc đi qua những chính sách có thể ngăn dấu nhắc lệnh chạy trên thiết bị mục tiêu.

Mã độc thứ 2 là backdoor RoyalDNS, sử dụng DNS, đặc biệt là bản ghi TXT, để liên lạc với máy chủ C&C. Mã độc này nhận lệnh, thực thi lệnh và trả về kết quả đầu ra qua DNS.

Trong vụ tấn công mà NCC phân tích, tin tặc đã xâm nhập hơn 30 máy chủ, các thành phần pháp lý giả tìm được cho thấy chiến dịch có thể đã xảy ra từ đầu tháng 05/2016. Vào tháng 07/2017, khách hàng của NCC yêu cầu công ty này ngưng điều tra. Đến tháng 08/2017, NCC tiếp tục công việc khi nhóm tin tặc trên chiếm quyền kiểm soát trở lại vào mạng lưới mục tiêu. Các chuyên gia kết luận rằng, nhóm này đã đánh cắp một chứng chỉ VPN từ máy chủ lây nhiễm và dùng nó để chiếm lại quyền truy cập qua mạng VPN của nạn nhân.

Những dòng lệnh mà tin tặc gửi đến mã độc RoyalCLI và BS2005 được lưu trong ổ đĩa trên thiết bị bị lây nhiễm, giúp các nhà nghiên cứu phục hồi hơn 200 lệnh. Do một trong những lệnh tìm thấy chứa lỗi đánh máy mà các nhà nghiên cứu xác định rằng, chúng được gửi đi bởi con người chứ không phải máy móc.

Ngoài BS2005, RoyalCLI và RoyalDNS, nhóm gián điệp mạng APT15 còn sử dụng mã độc theo dõi hoạt động bàn phím tùy chỉnh, bản kê Microsoft SharePoint and Exchange và các công cụ xóa dữ liệu. Kho vũ khí mạng của nhóm cũng bao gồm nhiều công cụ có sẵn phổ biến như Mimikatz, CSVDE, NetEnum và RemoteExec.

Hơn nữa, APT15 dựa vào những dòng lệnh Windows như: tasklist, ping, netstat, net, systeminfo, ipconfig và bcp để theo dõi mục tiêu. Bước tiếp theo, chúng sẽ dùng lệnh net và sao chép file để gửi/nhận lệnh từ máy chủ chiếm được.

Zaki cho biết, đây rõ ràng là một nhóm tin tặc rất tinh vi với khả năng tự tạo mã độc đặc biệt dành cho mỗi loại đối tượng mục tiêu.

(Nguồn: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: