Chủ đề

(Không gian mạng) - Ngày 18/06, hãng bảo mật Intezer (Israel) báo cáo phát hiện chứng cứ về hoạt động mới nhất của nhóm gián điệp mạng APT15 (Trung Quốc) sau vụ tấn công gần đây nhắm vào một nhà thầu hải quân Mỹ.

China-APT

Nhóm APT15 (hay còn được gọi là Ke3chang, Mirage, Vixen Panda, Royal APT và Playful Dragon) đã phát triển một loại mã độc mới, mượn mã code từ một trong những công cụ mà nhóm từng sử dụng trong các chiến dịch trước đây.

APT15 hoạt động ít nhất từ năm 2010, với nhiều chiến dịch gián điệp mạng nhắm vào các ngành công nghiệp quốc phòng, công nghệ cao, năng lượng, chính phủ, hàng không vũ trụ và sản xuất trên toàn thế giới. Tin tặc đã cho thấy mức độ tinh vi ngày càng tăng qua các năm, chúng sử dụng mã độc tùy chỉnh và khai thác nhiều loại lỗ hổng khác nhau trong các chiến dịch của mình.

Qua nhiều năm, các hãng bảo mật đã phát hiện khá nhiều công cụ mã độc liên quan đến nhóm này như Mirage, BS2005, RoyalCLI, RoyalDNS, TidePool, BMW và MyWeb.

Tháng 03/2018, APT15 đã sử dụng một backdoor mới trong một cuộc tấn công nằm trong một phần chiến dịch lớn nhắm vào nhà thầu của nhiều bộ chính phủ và tổ chức quân sự Anh.

Một trong những chiến dịch đó là nhắm mục tiêu một khách hàng ở Anh của Tập đoàn NCC, tổ chức chuyên cung cấp nhiều loại hình dịch vụ khác nhau cho chính phủ Anh. Tin tặc nhắm vào các bộ của chính phủ và công nghệ quân sự thông qua tấn công khách hàng của tập đoàn trên.

Tập đoàn NCC lưu ý vào thời điểm đó rằng, gián điệp mạng APT15 sử dụng 2 backdoor mới có tên là RoyalCLI và RoyalDNS.

Một trong 2 backdoor có tên RoyalCLI dựa vào phần sửa lỗi còn lại trong đoạn mã nhị phân, đây chính là mã độc kế vị của backdoor BS2005 mà nhóm này từng sử dụng. Cả RoyalCLI và BS2005 đều liên lạc với máy chủ C&C qua Internet Explorer bằng giao diện COM IWebBrowser2.

Tin tặc lợi dụng dòng lệnh Windows để thực hiện hoạt động do thám, tiếp sau đó, chúng sẽ dùng một lệnh kết hợp mạng lưới bằng cách ghép giá trị C$ của máy chủ và sao chép thủ công các tập tin đến hoặc từ máy chủ bị lây nhiễm.

Backdoor thứ 2 là RoyalDNS, sử dụng DNS để liên lạc với máy chủ C&C, một khi thực thi lệnh xong, backdoor này sẽ quay trở về đầu ra qua DNS.

Việc phát hiện ra mã độc mới liên quan đến nhóm APT15 của Intezer khá tình cờ. Thực tế, nó bị phát hiện khi các chuyên gia đang sử dụng những quy tắc YARA để dò tìm Mirage (một trong những công cụ xưa nhất của nhóm APT15) và Reaver (một loại mã độc liên quan đến nhiều chiến dịch gián điệp của các nhóm APT Trung Quốc).

Báo cáo của Intezer nói: “Tình cờ, khi theo dõi cuộc tấn công mới đây vào một nhà thầu hải quân Mỹ và vụ trộm dữ liệu tối nhạy cảm của một tàu ngầm chiến đấu, chúng tôi phát hiện chứng cứ về hoạt động mới nhất của nhóm APT15, được biết đến qua những chiến dịch gián điệp liên quan đến chính phủ Trung Quốc. Mã độc được dùng trong chiến dịch mới này có tên là MirageFox, trông giống như là phiên bản cập nhật của một công cụ RAT được tin xuất hiện từ năm 2018 – mã độc Mirage”.

Mã độc mới được đặt tên MirageFox, theo chuỗi được tìm thấy từ một trong các thành phần vay mượn từ code của 2 mã độc Mirage và Reaver.

Mã độc Mirage ban đầu chứa code dòng lệnh từ xa và có chức năng giải mã dữ liệu cấu hình C&C.

Mirage cũng có code giống với nhiều mã độc khác của nhóm APT15, gồm có BMW, BS2005, và đặc biệt là MyWeb. Sự tương đồng trong mã code cho thấy mã độc Reaver là do nhóm APT15 phát triển.

Theo báo cáo phân tích của Intezer, chức năng của MirageFox tương tự như mã độc trước đây mà nhóm APT15 phát triển, đầu tiên là thu thập thông tin máy tính như tên người dùng, thông tin CPU, cấu trúc… Sau đó nó sẽ gửi thông tin này đến máy chủ C&C, mở ra một backdoor và chờ lệnh từ máy chủ C&C với những nhiệm vụ như định dạng tập tin, tự phát và kết thúc process, và nhiều nhiệm vụ điển hình như các loại mã độc RAT của nhóm APT15.

Mẫu mà các chuyên gia phân tích được biên soạn vào ngày 08/06 và tải lên công cụ quét virus Virustotal vào ngày 09/06.

Mã độc sử dụng mã nhị phân McAfee hợp pháp để tải các process độc qua tấn công DLL, một kỹ thuật từng được dùng trong các chiến dịch trước đây.

Các chuyên gia Intezer cũng lưu ý rằng, máy chủ C&C được cấu hình như một địa chỉ IP nội bộ, một môi trường giúp xác nhận mẫu mã độc được cấu hình để nhắm mục tiêu tổ chức.

Báo cáo viết: “Nếu nhìn vào cấu hình giải mã, bạn sẽ nhận thấy, địa chỉ IP dùng trong máy chủ C&C là một địa chỉ nội bộ. Trong báo cáo của Tập đoàn NCC về mã độc RoyalAPT, nó đã đề cập đến việc nhóm APT15 xâm nhập lại vào một tổ chức sau khi đã đánh cắp một khóa VPN riêng tư. Vì vậy, chúng ta có thể kết luận phiên bản mã độc này được phát triển cho một 1 tổ chức mà họ đã xâm nhập được và đang kết nối đến mạng nội bộ qua một mạng VPN”.

Intezer kết luận: “Dựa vào mã code và nhiều điểm tương đồng khác trong mã nhị phân MirageFox, chúng ta có thể tự tin nói rằng thủ phạm chính là nhóm APT15. Nhóm này được biết đến với cách thức tấn công xâm nhập vào hệ thống mục tiêu để triển khai nhiều nhiệm vụ do thám sau đó, gửi đi các lệnh từ máy chủ C&C một cách thủ công, và tùy chỉnh các thành phần mã độc của mình để thích hợp nhất đối với môi trường lây nhiễm”.

Lâm Quang Dũng (Lược dịch từ: Security Affair)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên