Chủ đề

(Không gian mạng) - Ngày 30/11, hãng bảo mật Trend Micro (Nhật ) báo cáo phát hiện một chiến dịch mới, sử dụng backdoor dựa trên PowerShell có nhiều điểm tương đồng với mã độc từng được nhóm tin tặc MuddyWater triển khai.

shutterstock_510253828

Nhóm MuddyWater được báo cáo lần đầu vào năm 2017, chủ yếu tập trung nhắm mục tiêu chính phủ ở Iraq và Ả Rập Saudi, nhưng các chiến dịch của chúng dường như không dễ bị quy kết. Các chuyên gia bảo mật đã liên hệ nhóm này với hàng loạt cuộc tấn công trong năm 2018 và thậm chí công bố một danh sách các mục tiêu mở rộng.

Từ đầu, nhóm đã sử dụng email lừa đảo như phương thức chính trong các chiến dịch gián điệp tinh vi của mình, và chỉ thực hiện một vài thay đổi nhỏ trong công cụ, kỹ thuật và quy trình (TTP) tấn công.

Theo Trend Micro, chiến dịch mới đây sử dụng tài liệu phát tán mã độc tương tự như chiến dịch lây nhiễm MuddyWater, trong đó mã độc được tải lên công cụ Virus Total từ Thổ Nhĩ Kỳ. Tài liệu này thả một backdoor được viết bằng PowerShell, giống như mã độc POWERSTATS từng được biết của MuddyWater.

Tuy nhiên, khác với mã độc POWERSTATS trước đó, cửa hậu mới này sử dụng giao diện API của một nhà cung cấp dịch vụ lưu trữ đám mây để liên lạc C&C và trích xuất dữ liệu, các chuyên gia cho biết.

Khi được mở ra, tài liệu có logo mờ của các tổ chức chính phủ Thổ Nhĩ Kỳ khác nhau hiện thông báo đến người dùng rằng, họ cần kích hoạt macro để nội dung tài liệu được hiển thị đầy đủ.

Macro trong tập tin chứa các chuỗi được mã hóa bằng chương trình base52, một kỹ thuật từng được MuddyWater sử dụng và hiếm thấy ở các nhóm khác. Một khi được kích hoạt, macro sẽ thả một tập tin .dll (với mã PowerShell được nén) và một tập tin .reg vào trong danh mục %temp%.

Mã code PowerShell được nén trong tập .dll có nhiều lớp làm rối mã, trong đó lớp cuối là thành phần backdoor chính, với những tính năng tương tự như một phiên bản mã độc MuddyWater từng được phát hiện trước đây.

Tin tặc thu thập thông tin hệ thống như tên OS, tên miền, tên người dùng, địa chỉ IP… và lưu chúng bằng dấu phân cách “::” giữa mỗi dạng thông tin.

Để liên lạc, mã độc sử dụng tập tin có tên với các phần mở rộng khác nhau, dựa vào mục đích của tập tin như: .cmd (tập văn bản chứa lệnh thực thi), .reg (thông tin hệ thống được khởi tạo bởi chức năng myinfo()), .prc (đầu ra của tập thực thi .cmd, được lưu trong máy nội bộ), và .res (đầu ra của tập thực thi .cmd, được lưu trên dịch vụ lưu trữ đám mây).

Những tập tin này được sử dụng như một cơ chế không đồng bộ, trong đó tin tặc để một lệnh thực thi trong một tập .cmd và quay trở lại trích xuất tập .res. Mặc dù vậy, nội dung mã hóa giữa backdoor MuddyWater và mã độc mới này lại khác nhau.

Các lệnh được hỗ trợ trong backdoor gồm có tải tập tin lên, xóa vĩnh viễn, thoát, tải tập tin về và thực thi lệnh.

“Dựa vào phân tích của nhóm, chúng tôi có thể khẳng định rằng mục tiêu là các tổ chức chính phủ Thổ Nhĩ Kỳ liên quan đến lĩnh vực tài chính và năng lượng. Đây chính là một điểm tương đồng khác với chiến dịch trước đây của MuddyWater, từng được biết đến khi nhắm mục tiêu hàng loạt cơ quan chính phủ Thổ Nhĩ Kỳ. Nếu MuddyWater thật sự là thủ phạm của chiến dịch mới này, thì điều đó cho thấy nhóm đang cải thiện và thử nghiệm công cụ mới rất mạnh mẽ”, Trend Micro kết luận.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên