-
06/07/2013
-
797
-
1.308 bài viết
Phát hiện mã độc mới của Trung Quốc trong các cuộc tấn công gần đây
Các nhà nghiên cứu an ninh mạng vừa tiết lộ một loạt các cuộc tấn công bằng mã độc có nguồn gốc từ Trung Quốc nhắm mục tiêu vào các tổ chức ở Nga và Hồng Kông - trong đó có cả một backdoor chưa từng được công bố (undocumented) trước đây.
Positive Technologies ghi nhận chiến dịch do Winnti (hay APT41) thực hiện lần đầu tiên vào ngày 12 tháng 5 năm 2020, sử dụng các các shortcut LNK để trích xuất và thực thi mã độc. Cuộc tấn công thứ hai vào ngày 30 tháng 5 sử dụng một tập tin RAR độc hại gồm các file shortcut của hai tài liệu PDF làm mồi nhử là hồ sơ ứng tuyển và chứng chỉ IELTS.
Hai shortcut chứa liên kết dẫn đến các trang được lưu trữ trên Zeplin, một công cụ cộng tác, kết nối hợp pháp dành cho các nhà thiết kế và nhà phát triển được sử dụng để tìm nạp mã độc ở giai đoạn cuối, bao gồm shellcode loader ("svchast.exe") và backdoor có tên là Crosswalk ("3t54dE3r.tmp").
Crosswalk, được ghi nhận lần đầu tiên bởi FireEye vào năm 2017, là một mô-đun backdoor đơn giản có khả năng thực hiện thăm dò hệ thống và nhận các mô-đun bổ sung từ máy chủ do kẻ tấn công kiểm soát dưới dạng shellcode.
Cách thức hoạt động này có sự tương đồng với nhóm Higaisa từ Hàn Quốc. Nhóm này bị phát hiện khai thác các tập tin LNK đính kèm trong email để phát động các cuộc tấn công vào năm 2020. Tuy nhiên, các nhà nghiên cứu cho biết việc sử dụng Crosswalk cho thấy có sự tham gia của nhóm Winnti.
Điều này là có căn cứ bởi thực tế cơ sở hạ tầng mạng của các mẫu được tìm thấy trùng lặp với cơ sở hạ tầng của nhóm APT41 đã biết trước đây, với một số tên miền bắt nguồn từ các cuộc tấn công của Winnti vào ngành công nghiệp trò chơi điện tử trực tuyến vào năm 2013.
Đáng chú ý, trong số các mục tiêu có Battlestate Games, một nhà phát triển trò chơi Unity3D từ St.Petersburg (Nga).
Hơn nữa, các nhà nghiên cứu đã tìm thấy các mẫu tấn công bổ sung dưới dạng tập tin RAR dùng Cobalt Strike Beacon làm payload.
Trong một ví dụ khác, các chứng chỉ của Zealot Digital - một công ty của Đài Loan, đã bị lạm dụng để tấn công các tổ chức ở Hồng Kông bằng các công cụ Crosswalk và Metasploit, cũng như ShadowPad, Paranoid PlugX và một backdoor .NET mới có tên là FunnySwitch.
Backdoor này dường như vẫn đang được phát triển, có khả năng thu thập thông tin hệ thống và chạy mã JScript tùy ý. Nó cũng chia sẻ một số tính năng chung với Crosswalk, khiến các nhà nghiên cứu tin rằng chúng được viết bởi cùng một nhà phát triển.
Trước đó, Paranoid PlugX từng có liên quan đến các cuộc tấn công vào các công ty trong ngành công nghiệp trò chơi điện tử vào năm 2017. Do đó, việc triển khai phần mềm độc hại thông qua cơ sở hạ tầng mạng của Winnti đã tạo thêm uy tín cho "mối quan hệ" giữa hai nhóm.
Positive Technologies ghi nhận chiến dịch do Winnti (hay APT41) thực hiện lần đầu tiên vào ngày 12 tháng 5 năm 2020, sử dụng các các shortcut LNK để trích xuất và thực thi mã độc. Cuộc tấn công thứ hai vào ngày 30 tháng 5 sử dụng một tập tin RAR độc hại gồm các file shortcut của hai tài liệu PDF làm mồi nhử là hồ sơ ứng tuyển và chứng chỉ IELTS.
Hai shortcut chứa liên kết dẫn đến các trang được lưu trữ trên Zeplin, một công cụ cộng tác, kết nối hợp pháp dành cho các nhà thiết kế và nhà phát triển được sử dụng để tìm nạp mã độc ở giai đoạn cuối, bao gồm shellcode loader ("svchast.exe") và backdoor có tên là Crosswalk ("3t54dE3r.tmp").
Crosswalk, được ghi nhận lần đầu tiên bởi FireEye vào năm 2017, là một mô-đun backdoor đơn giản có khả năng thực hiện thăm dò hệ thống và nhận các mô-đun bổ sung từ máy chủ do kẻ tấn công kiểm soát dưới dạng shellcode.
Cách thức hoạt động này có sự tương đồng với nhóm Higaisa từ Hàn Quốc. Nhóm này bị phát hiện khai thác các tập tin LNK đính kèm trong email để phát động các cuộc tấn công vào năm 2020. Tuy nhiên, các nhà nghiên cứu cho biết việc sử dụng Crosswalk cho thấy có sự tham gia của nhóm Winnti.
Điều này là có căn cứ bởi thực tế cơ sở hạ tầng mạng của các mẫu được tìm thấy trùng lặp với cơ sở hạ tầng của nhóm APT41 đã biết trước đây, với một số tên miền bắt nguồn từ các cuộc tấn công của Winnti vào ngành công nghiệp trò chơi điện tử trực tuyến vào năm 2013.
Đáng chú ý, trong số các mục tiêu có Battlestate Games, một nhà phát triển trò chơi Unity3D từ St.Petersburg (Nga).
Hơn nữa, các nhà nghiên cứu đã tìm thấy các mẫu tấn công bổ sung dưới dạng tập tin RAR dùng Cobalt Strike Beacon làm payload.
Trong một ví dụ khác, các chứng chỉ của Zealot Digital - một công ty của Đài Loan, đã bị lạm dụng để tấn công các tổ chức ở Hồng Kông bằng các công cụ Crosswalk và Metasploit, cũng như ShadowPad, Paranoid PlugX và một backdoor .NET mới có tên là FunnySwitch.
Backdoor này dường như vẫn đang được phát triển, có khả năng thu thập thông tin hệ thống và chạy mã JScript tùy ý. Nó cũng chia sẻ một số tính năng chung với Crosswalk, khiến các nhà nghiên cứu tin rằng chúng được viết bởi cùng một nhà phát triển.
Trước đó, Paranoid PlugX từng có liên quan đến các cuộc tấn công vào các công ty trong ngành công nghiệp trò chơi điện tử vào năm 2017. Do đó, việc triển khai phần mềm độc hại thông qua cơ sở hạ tầng mạng của Winnti đã tạo thêm uy tín cho "mối quan hệ" giữa hai nhóm.
Theo The Hacker News