Hàng năm, nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) của Kaspersky sẽ công bố các bản tóm tắt mỗi quý về các hoạt động tấn công có chủ đích (APT). Đây là một hoạt động thường niên để cung cấp cái nhìn tổng quan thông tin về các mối đe dọa được duy trì trong suốt hơn 5 năm qua của Kaspersky. Bài viết này trình bày về các xu hướng tấn công APT nổi bật trong quý 3/2023 dựa trên báo cáo mới đây của hãng bảo mật đến từ Nga.
NHỮNG PHÁT HIỆN ĐÁNG CHÚ Ý NHẤT
Nhắm mục tiêu vào USB an toàn của các cơ quan chính phủ tại khu vực Châu Á – Thái Bình Dương
Vào đầu năm 2023, các nhà nghiên cứu của Kaspersky đã phát hiện một cuộc tấn công đang diễn ra nhắm vào các tổ chức chính phủ ở khu vực châu Á – Thái Bình Dương (APAC) bằng cách xâm phạm một loại USB an toàn vốn cung cấp chức năng mã hóa phần cứng. Các USB bảo mật như vậy được các tổ chức chính phủ sử dụng để lưu trữ và truyền dữ liệu vật lý một cách an toàn giữa các hệ thống máy tính.
Điều tra sâu hơn cho thấy một chiến dịch kéo dài bao gồm nhiều mô-đun độc hại khác nhau, được sử dụng để thực thi các lệnh và thu thập tệp cũng như thông tin từ các máy bị xâm nhập, sau đó chuyển chúng sang các máy khác sử dụng cùng ổ USB an toàn khác làm nhà cung cấp dịch vụ. Chúng cũng có khả năng thực thi các tệp độc hại khác trên hệ thống bị nhiễm.
Chiến dịch tấn công này bao gồm các công cụ và kỹ thuật phức tạp, bao gồm cả việc làm xáo trộn phần mềm dựa trên ảo hóa cho các thành phần phần mềm độc hại, giao tiếp với USB bằng các lệnh SCSI trực tiếp, tự sao chép thông qua các USB an toàn được kết nối để truyền tới các hệ thống Air-Gap khác và tiêm mã vào chương trình quản lý truy cập hợp pháp trên USB, chương trình này hoạt động như một trình tải phần mềm độc hại trên máy mới.
Theo Kaspersky, các cuộc tấn công cho thấy mức độ tinh vi cao trong các công cụ độc hại được sử dụng. Các nhà nghiên cứu tin rằng những cuộc tấn công này được thực hiện bởi một kẻ đe dọa có chuyên môn cao, quan tâm đến các hoạt động gián điệp trong các mạng lưới chính phủ nhạy cảm và được bảo vệ.
Sử dụng Trojan truy cập từ xa trong các chiến dịch tấn công
Nhóm gián điệp mạng Blind Eagle (hay APT-C-36) đã nhắm mục tiêu vào cả các tổ chức chính phủ và cá nhân ở Nam Mỹ. Một đặc điểm đáng chú ý của Blind Eagle là xu hướng của tác nhân đe dọa là kết hợp nhiều Trojan truy cập từ xa (RAT) nguồn mở khác nhau như AsyncRAT, Lime-RAT và BitRAT, đồng thời sử dụng chúng làm payload cuối cùng để đạt được mục tiêu của mình.
Một sự phát triển gần đây trong phương thức hoạt động của nhóm này liên quan đến sự thay đổi trong việc lựa chọn payload cuối cùng. Trước đây, các báo cáo của Kaspersky đã nêu bật quá trình chuyển đổi của nhóm từ Quasar RAT sang NjRAT, thể hiện cách tiếp cận đa dạng hơn. Trong làn sóng tấn công gần đây nhất của mình, Blind Eagle một lần nữa sử dụng một RAT nguồn mở khác, đó là Agent Tesla. Sự thay đổi chiến lược này báo hiệu ý định tăng cường khả năng giám sát và mở rộng phạm vi mục tiêu.
Blind Eagle sau đó đã thêm Remcos RAT vào bộ công cụ của mình để tấn công các tổ chức chính phủ, công ty tư nhân và cá nhân ở Colombia. Phương thức tấn công ban đầu là một email lừa đảo được ngụy trang dưới dạng email từ một tổ chức hoặc dịch vụ chính phủ.
Email này chứa một liên kết dẫn đến một kho lưu trữ được bảo vệ bằng mật khẩu trên Google Drive, thể hiện giai đoạn lây nhiễm đầu tiên – một tệp nhị phân .NET đã bị xáo trộn và cố gắng tự chuyển thành tệp nhị phân OpenVPN, trong khi thực tế nó là một trình tải phần mềm độc hại. Payload cuối cùng là một phần mềm độc hại đã được tải, Remcos RAT – loại công cụ quản trị từ xa thứ tư được tác nhân đe dọa này áp dụng trong vòng vài tháng hoạt động.
Chiến dịch BadRory
Bắt đầu từ cuối năm 2022, một nhóm tin tặc APT mới và chưa được biết đến đã tiến hành các cuộc tấn công nhằm vào nhiều thực thể ở Nga. Chúng nhắm mục tiêu vào nạn nhân của mình bằng cách gửi email lừa đảo có đính kèm tài liệu Microsoft Office.
Điều này bắt đầu một kế hoạch lây nhiễm dẫn đến việc cài đặt một Trojan mới, được thiết kế chủ yếu để lấy các tệp từ máy của nạn nhân và giành quyền kiểm soát bằng cách thực thi các lệnh tùy ý.
Chiến dịch tấn công đầu tiên được quan sát bắt đầu vào tháng 10/2022, tiếp theo là một đợt tấn công khác vào tháng 4/2023, với mục đích tấn công vào các cơ quan chính phủ, nhà thầu quân sự, trường đại học và bệnh viện. Hiện tại, các nhà nghiên cứu của Kaspersky không thể liên kết hoạt động này với bất kỳ nhóm đã biết nào, vì vậy hãng bảo mật này đã gọi cả hai chiến dịch tấn công là BadRory.
Biến thể mới của HoneyMyte nhắm mục tiêu tại Việt Nam
Năm 2019, Kaspersky đã công bố một số báo cáo liên quan đến các cuộc tấn công của nhóm tin tặc HoneyMyte. Nhóm đã bắt đầu một chiến dịch lừa đảo Spear Phishing vào giữa năm 2018, tiếp nối đến năm 2019 và nhắm vào các tổ chức, chính phủ khác nhau tại các quốc gia Trung và Đông Nam Á.
Một trong những thành phần độc đáo trong bộ phần mềm độc hại của HoneyMyte bao gồm các công cụ đánh cắp cookie cho các dịch vụ email. Các cookie bị đánh cắp sau này có thể được sử dụng để truy cập từ xa vào tài khoản email của nạn nhân. Những thành phần độc hại này chưa từng thấy ở bất kỳ cuộc tấn công APT nào khác, gần đây đã được quan sát thấy ở Việt Nam, bắt đầu từ tháng 6 năm nay.
Biến thể đánh cắp cookie mới bổ sung hỗ trợ cho “Cốc Cốc”, một trình duyệt phổ biến đối với người dùng tại Việt Nam. Đây là các biến thể mới của cùng một công cụ tấn công mà Kaspersky đã báo cáo lần đầu vào tháng 8/2019 và sau đó trình bày chi tiết lại vào tháng 6/2021.
Chiến dịch GOFFEE
Vào cuối năm 2021, lần đầu tiên Kaspersky ghi nhận Owowa – một module backdoor IIS độc hại được triển khai chủ yếu ở châu Á kể từ năm 2020. Vào thời điểm đó, các nhà nghiên cứu đã chỉ ra rằng Owowa có thể được phát triển bởi một tin tặc đến từ Trung Quốc.
Kaspersky tiếp tục theo dõi khả năng triển khai Owowa và phát hiện ra rằng, bắt đầu từ tháng 5/2022, một biến thể cập nhật đã được sử dụng riêng để chống lại các mục tiêu ở Nga. Sau đó, các nhà nghiên cứu đã liên kết việc triển khai Owowa với chuỗi xâm nhập dựa trên email bắt chước hoạt động đã biết của CloudAtlas. Kaspersky gọi chiến dịch tấn công độc hại tận dụng cả Owowa và chuỗi xâm nhập dựa trên email nhằm vào các mục tiêu chung ở Nga là GOFFEE. Hiện tại, chiến dịch vẫn đang tiếp tục diễn ra.
Biến thể mới của TargetPlug
Vào tháng 1/2023, Kaspersky đã từng báo cáo về phần mềm độc hại có tên TargetPlug, các hoạt động của nó tập trung vào lĩnh vực trò chơi, chủ yếu ở Hàn Quốc. Vào tháng 4 năm nay, các nhà nghiên cứu đã chứng kiến chiến dịch tấn công mới liên quan đến các biến thể liên quan của TargetPlug.
Đáng chú ý, các cuộc tấn công này đã mở rộng phạm vi sang các thực thể trong lĩnh vực phần mềm và giải trí ở Tây Ban Nha và Mexico.
Các lần lặp lại mới hơn này của TargetPlug thể hiện nhiều thay đổi khác nhau trong các thành phần trình tải của chúng. Các nhà phát triển của phần mềm độc hại đã loại bỏ một chuỗi đặc biệt mà trước đây đóng vai trò là điểm đánh dấu sự thỏa hiệp trong trình tải và giới thiệu thuật toán băm có nguồn gốc từ omniORB, một triển khai mã nguồn mở CORBA (Common Object Request Broker Architecture).
KHU VỰC TRUNG ĐÔNG
Chiến dịch của nhóm Dark Caracal
Dark Caracal, một nhóm tin tặc đã thực hiện các chiến dịch gián điệp mạng ít nhất từ năm 2012. Các chiến dịch của nhóm này nhắm vào các chính phủ, tổ chức quân sự, tiện ích, tổ chức tài chính, công ty sản xuất và nhà thầu quốc phòng trên toàn thế giới.
Chúng nổi tiếng với việc đánh cắp dữ liệu có giá trị, bao gồm tài sản trí tuệ và thông tin nhận dạng cá nhân, ảnh hưởng đến hàng nghìn nạn nhân. Dark Caracal được coi là “nhóm đe dọa lính đánh thuê trên mạng” do có nhiều mục tiêu khác nhau và mục tiêu rõ ràng là nhiều chính phủ trong các chiến dịch của nhóm này.
Kể từ năm 2021, hoạt động của Dark Caracal được cho là tập trung vào các quốc gia nói tiếng Tây Ban Nha, chủ yếu ở Mỹ Latinh.
Phiên bản độc hại mới StrongPity4
StrongyPity là một tác nhân đe dọa từ Thổ Nhĩ Kỳ được biết là đã hoạt động ít nhất từ năm 2012. Vào năm 2020, Kaspersky đã phát hiện ra một phiên bản mới của bộ phần mềm độc hại StrongPity và đặt tên là StrongPity4, phiên bản này có vẻ tiên tiến hơn các biến thể trước đó và được phát hiện với một số ít nạn nhân ở Ai Cập, Syria và Thổ Nhĩ Kỳ.
Các nhà nghiên cứu đã tiếp tục theo dõi hoạt động của kẻ tấn công trong vài năm qua. Một nhà cung cấp khác của Trung Quốc đã báo cáo về một cuộc tấn công tương tự nhằm vào các thực thể ở Trung Quốc và mô tả một phần mã độc hại tương tự cũng như các mô-đun khác nhau được kẻ tấn công triển khai trên các máy nạn nhân cụ thể. Những mô-đun mới này không được cung cấp rộng rãi nhưng chúng tôi có thể phát hiện chúng trên các mục tiêu ở Trung Đông và Bắc Phi.
Trong một báo cáo gần đây, Kaspersky đã mô tả các mô-đun bổ sung này được sử dụng để tìm kiếm các tệp có liên quan trên máy nạn nhân, sau đó có thể được lọc ra, cũng như ghi lại các thao tác phím và chụp ảnh màn hình, ngoài ra các nhà nghiên cứu cũng phát hiện ra các biến thể mới của bộ nạp được sử dụng để kích hoạt StrongPity và quan sát thấy hoạt động tấn công mở rộng sang các quốc gia mới, bao gồm: Algeria, Lebanon, Armenia và Iran.
Tập lệnh PowerShell độc hại
Trong một cuộc điều tra gần đây, Kaspersky đã phát hiện ra các tập lệnh PowerShell độc hại cho thấy những kẻ tấn công phía sau các tập lệnh này đang hoạt động bên trong nhiều tổ chức công và tư nhân cấp cao ở khu vực Levant (khu vực rộng lớn ở vùng Đông Địa Trung Hải).
Dữ liệu đo từ xa của Kaspersky cho thấy nỗ lực mới nhất của kẻ tấn công này tập trung vào các thực thể ở các quốc gia cụ thể, cụ thể là: Palestine, Syria, Lebanon và Iran. Hoạt động này có thể đã được thực hiện trong vài năm, ít nhất là từ năm 2020 hoặc sớm hơn, một trong những nạn nhân của chiến dịch này là nhà cung cấp thiết bị viễn thông ở Trung Đông.
Phần mềm độc hại BellaCiao
BellaCiao là phần mềm độc hại dựa trên .NET được liên kết công khai với kẻ đe dọa Charming Kitten (còn gọi là Newsbeef và APT35). Thời gian gần đây, Kaspersky đã phát hiện các phiên bản mới của phần mềm độc hại này, làm rò rỉ thêm các địa chỉ của máy chủ C2 cũng như một số thay đổi nhỏ trong phương pháp của nó.
ĐÔNG NAM Á VÀ BÁN ĐẢO TRIỀU TIÊN
Chiến dịch Lazarus
Kaspersky phát hiện một chiến dịch Lazarus đang diễn ra nhắm vào ngành công nghiệp quốc phòng và các kỹ sư hạt nhân. Lazarus sử dụng các ứng dụng bị Trojan hóa để truy cập vào hệ thống doanh nghiệp.
Kẻ tấn công đánh lừa người tìm việc trên mạng xã hội và mở các ứng dụng độc hại để thực hiện các cuộc phỏng vấn việc làm giả mạo. Để tránh bị phát hiện bởi các giải pháp bảo mật dựa trên hành vi, ứng dụng này chỉ kích hoạt khi người dùng chọn máy chủ từ menu thả xuống của máy khách VNC bị Trojan hóa. Ứng dụng sẽ khởi chạy các payload bổ sung vào bộ nhớ và truy xuất thêm mã độc.
Các nhà nghiên cứu đã quan sát thấy việc cài đặt một payload bổ sung trên hệ thống của nạn nhân. Sau khi họ thực thi ứng dụng khách VNC bị xâm nhập, nó sẽ kích hoạt việc tạo ra phần mềm độc hại khác có tên là LPEClient, phần mềm này trước đây đã được nhóm Lazarus sử dụng nhiều lần. Nó cũng sử dụng các phương thức liên lạc C2 phức tạp và vô hiệu hóa việc giám sát hành vi bằng cách hủy kết nối ở chế độ người dùng.
Các nhà nghiên cứu cũng cho biết việc sử dụng phiên bản cập nhật của Copperhedge làm backdoor bổ sung, với chuỗi lây nhiễm phức tạp. Ngoài ra, họ còn quan sát sự hiện diện của một biến thể phần mềm độc hại được thiết kế đặc biệt để truyền các tệp mục tiêu đến máy chủ từ xa.
Mục đích của phần mềm độc hại này là lọc các tệp cụ thể do nhóm Lazarus chọn và gửi chúng đến máy chủ từ xa được chỉ định của chúng. Phần lớn các nạn nhân bị ảnh hưởng là các công ty trực tiếp tham gia sản xuất quốc phòng, bao gồm hệ thống radar, máy bay không người lái (UAV), phương tiện quân sự, tàu, vũ khí và các công ty hàng hải.
Chuỗi lây nhiễm dựa trên Word
Trong khi theo dõi các hoạt động của nhóm tin tặc ScarCruft, các nhà nghiên cứu tình cờ phát hiện ra một chuỗi lây nhiễm mới. Nó được bắt đầu bằng một tài liệu Word nhúng macro được chế tạo khéo léo dưới dạng hóa đơn thương mại viết bằng tiếng Nga.
Sau khi có được quyền thực thi macro nhúng, một chuỗi lây nhiễm cực kỳ phức tạp sẽ được thực thi. Vectơ độc hại nhúng một shellcode giai đoạn đầu tương đối lớn, bao gồm các gói bổ sung cần thiết để cài đặt, vào một tiến trình Windows hợp pháp.
Sau khi trạng thái của nạn nhân được xác minh, shellcode sẽ tiến hành cài đặt Windows Resource Kit, sử dụng nó để thiết lập một dịch vụ Windows liên tục. Ngoài ra, nếu Python không có trên hệ thống của nạn nhân, shellcode sẽ loại bỏ gói Python để tạo điều kiện lây nhiễm thêm.
Sau đó, nó triển khai tập lệnh Python độc hại và payload giai đoạn tiếp theo cho nạn nhân. Quá trình này trải qua hai giai đoạn shellcode nữa, trước khi thực thi payload thực thi của Windows mà không cần bất kỳ sự liên quan nào đến ổ đĩa, triển khai phần mềm độc hại RokRat hoặc BlueLight nổi tiếng. Payload cuối cùng chỉ sử dụng các dịch vụ đám mây như OneDrive, Google Drive, PCloud và BackBlaze cho các hoạt động C2 và lọc dữ liệu.
Trong khi điều tra trường hợp này, Kaspersky phát hiện ra rằng kẻ tấn công đã xâm phạm máy chủ của chính chúng nhằm mục đích thử nghiệm. Hơn nữa, mục tiêu dự định của cuộc tấn công này là một cá nhân hoặc tổ chức có liên quan đến một công ty thương mại có liên hệ với Nga và Triều Tiên.
KẾT LUẬN
Trong khi các phương thức tấn công của một số tác nhân đe dọa vẫn nhất quán theo thời gian, chủ yếu dựa vào kỹ nghệ xã hội như một cách thức để giành được chỗ đứng trong tổ chức mục tiêu hoặc xâm phạm thiết bị của cá nhân, thì những kẻ tấn công khác bên cạnh cải tiến các kỹ thuật cũng đã phát triển mới các bộ công cụ và mở rộng phạm vi hoạt động của chúng.