WhiteHat News #ID:2018
WhiteHat Support
-
20/03/2017
-
129
-
443 bài viết
Backdoor của Turla được điều khiển qua các tệp đính kèm trong email
Các nhà nghiên cứu an ninh của ESET đã phân tích một cửa hậu mới (backdoor) do nhóm tấn công có chủ đích (APT) Turla sử dụng.
Nhóm này còn được biết với các tên khác như Snake, Uroburos, hoạt động từ năm 2007, nhắm mục tiêu vào các chính phủ, quan chức nhà nước, các nhà ngoại giao và cơ quan quân sự, bao gồm cả Công ty quốc phòng của Thụy Sĩ RUAG, Bộ tư lệnh Trung Ương Mỹ và các cơ quan khác.
Năm ngoái, các nhà nghiên cứu đã tìm thấy mối liên hệ giữa nhóm này với một trong những hoạt động gián điệp mạng do nhà nước bảo trợ vào những năm 90.
Vào năm 2017, Turla nhắm mục tiêu vào Văn phòng ngoại giao của Liên bang Đức để cài backdoor trên một vài máy tính và đánh cắp toàn bộ dữ liệu năm 2017. Tin tặc ban đầu thâm nhập vào mạng lưới của Trường Quản lý hành chính công Liên bang của quốc gia này và sau đó phá vỡ mạng lưới Văn phòng ngoại giao vào tháng 03 năm 2017.
ESET tiết lộ backdoor được sử dụng trong cuộc tấn công này cũng được dùng để “mở ra một kênh truy cập bí mật đến văn phòng ngoại giao của hai nước châu Âu khác, cũng như mạng lưới của các nhà thầu quốc phòng quan trọng”.
Backdoor này được tạo ra từ năm 2009 với vô số các bản cập nhật, kèm theo các tính năng mới, bao gồm cả tính năng tàng hình và tương thích. Một phiên bản được phát hiện vào tháng 4 năm 2018 có thể thực thi các kịch bản PowerShell độc hại trực tiếp trên bộ nhớ, một chiến thuật đã được sử dụng trong những năm qua.
Hiện tại mã độc này nhằm vào Microsoft Outlook, phá vỡ Giao diện lập trình ứng dụng tin nhắn hợp pháp (MAPI) của ứng dụng để truy cập vào hộp thư mục tiêu. Trước đó, mã độc này đã nhắm vào email client của The Bat!.
Backdoor này không sử dụng cơ sở hạ tầng C&C thông thường, mà vận hành qua một file PDF tự tạo đặc biệt đính kèm file trong email. Mã độc này được phát tán dưới dạng một module Thư viện liên kết động (DDL) và được cài đặt bằng cách sử dụng tiện ích Window hợp pháp (RegSvr32.exe).
Do vậy sẽ xuất hiện nguy cơ chỉnh sửa các entry của Windows Registry. Đặc biệt, nó lợi dụng kỹ thuật “COM object hijacking”, nhằm đảm bảo rằng backdoor được kích hoạt mỗi khi chạy Microsoft Outlook.
Backdoor này tạo ra các bản ghi log trên mỗi tin nhắn email gửi đi và nhận được (kèm thông tin về người gửi, người nhận, tiêu đề và tên file đính kèm), gói các log cùng với dữ liệu khác và gửi đến nhóm Turla qua file PDF đính kèm trong email.
Với mỗi email đến, mã độc sẽ kiểm tra sự hiện diện của file PDF có thể chứa các lệnh và chấp nhận các lệnh từ bất kỳ ai có thể giải mã chúng thành file PDF. Có nghĩa là quản trị của Turla có thể giành lại quyền kiểm soát các máy bị nhiễm bằng cách gửi các lệnh từ bất kỳ địa chỉ email nào.
Trên các máy bị xâm phạm, mã độc gần như không bị phát hiện và không có email nào mà kẻ tấn công nhận được từng xuất hiện trong hộp thư đến. Hơn nữa, backdoor cũng chặn tất cả các thông báo email đến được gửi từ nhà điều hành của nó.
Mã độc cũng có hỗ trợ một loạt các lệnh, bao gồm thao tác tệp tin, thực thi lệnh shell, tạo quá trình, thao tác điều hướng... Mục đích chính của mã độc là trích xuất dữ liệu, tải và thực thi các chương trình hoặc lệnh bổ sung.
Theo ESET: “Đây là một backdoor hoàn thiện sử dụng kỹ thuật tùy chỉnh và độc quyền, có thể hoạt động độc lập trên bất kỳ thành phần Turla khác và được điều khiển hoàn toàn qua email. Thực tế, các nhà nghiên cứu của ESSET vẫn chưa tìm thấy bất kỳ nhóm gián điệp nào hiện đang sử dụng một backdoor mà được kiểm soát hoàn toàn qua email, đặc biệt là thông qua các tệp PDF đính kèm”.
Năm ngoái, các nhà nghiên cứu đã tìm thấy mối liên hệ giữa nhóm này với một trong những hoạt động gián điệp mạng do nhà nước bảo trợ vào những năm 90.
Vào năm 2017, Turla nhắm mục tiêu vào Văn phòng ngoại giao của Liên bang Đức để cài backdoor trên một vài máy tính và đánh cắp toàn bộ dữ liệu năm 2017. Tin tặc ban đầu thâm nhập vào mạng lưới của Trường Quản lý hành chính công Liên bang của quốc gia này và sau đó phá vỡ mạng lưới Văn phòng ngoại giao vào tháng 03 năm 2017.
ESET tiết lộ backdoor được sử dụng trong cuộc tấn công này cũng được dùng để “mở ra một kênh truy cập bí mật đến văn phòng ngoại giao của hai nước châu Âu khác, cũng như mạng lưới của các nhà thầu quốc phòng quan trọng”.
Backdoor này được tạo ra từ năm 2009 với vô số các bản cập nhật, kèm theo các tính năng mới, bao gồm cả tính năng tàng hình và tương thích. Một phiên bản được phát hiện vào tháng 4 năm 2018 có thể thực thi các kịch bản PowerShell độc hại trực tiếp trên bộ nhớ, một chiến thuật đã được sử dụng trong những năm qua.
Hiện tại mã độc này nhằm vào Microsoft Outlook, phá vỡ Giao diện lập trình ứng dụng tin nhắn hợp pháp (MAPI) của ứng dụng để truy cập vào hộp thư mục tiêu. Trước đó, mã độc này đã nhắm vào email client của The Bat!.
Backdoor này không sử dụng cơ sở hạ tầng C&C thông thường, mà vận hành qua một file PDF tự tạo đặc biệt đính kèm file trong email. Mã độc này được phát tán dưới dạng một module Thư viện liên kết động (DDL) và được cài đặt bằng cách sử dụng tiện ích Window hợp pháp (RegSvr32.exe).
Do vậy sẽ xuất hiện nguy cơ chỉnh sửa các entry của Windows Registry. Đặc biệt, nó lợi dụng kỹ thuật “COM object hijacking”, nhằm đảm bảo rằng backdoor được kích hoạt mỗi khi chạy Microsoft Outlook.
Backdoor này tạo ra các bản ghi log trên mỗi tin nhắn email gửi đi và nhận được (kèm thông tin về người gửi, người nhận, tiêu đề và tên file đính kèm), gói các log cùng với dữ liệu khác và gửi đến nhóm Turla qua file PDF đính kèm trong email.
Với mỗi email đến, mã độc sẽ kiểm tra sự hiện diện của file PDF có thể chứa các lệnh và chấp nhận các lệnh từ bất kỳ ai có thể giải mã chúng thành file PDF. Có nghĩa là quản trị của Turla có thể giành lại quyền kiểm soát các máy bị nhiễm bằng cách gửi các lệnh từ bất kỳ địa chỉ email nào.
Trên các máy bị xâm phạm, mã độc gần như không bị phát hiện và không có email nào mà kẻ tấn công nhận được từng xuất hiện trong hộp thư đến. Hơn nữa, backdoor cũng chặn tất cả các thông báo email đến được gửi từ nhà điều hành của nó.
Mã độc cũng có hỗ trợ một loạt các lệnh, bao gồm thao tác tệp tin, thực thi lệnh shell, tạo quá trình, thao tác điều hướng... Mục đích chính của mã độc là trích xuất dữ liệu, tải và thực thi các chương trình hoặc lệnh bổ sung.
Theo ESET: “Đây là một backdoor hoàn thiện sử dụng kỹ thuật tùy chỉnh và độc quyền, có thể hoạt động độc lập trên bất kỳ thành phần Turla khác và được điều khiển hoàn toàn qua email. Thực tế, các nhà nghiên cứu của ESSET vẫn chưa tìm thấy bất kỳ nhóm gián điệp nào hiện đang sử dụng một backdoor mà được kiểm soát hoàn toàn qua email, đặc biệt là thông qua các tệp PDF đính kèm”.
Theo Securityweek