-
09/04/2020
-
93
-
600 bài viết
Tin tặc lợi dụng ký số hợp lệ của nhà cung cấp VPN để ký dấu mã độc
Nhóm tin tặc APT được nhà nước hậu thuẫn có tên Bronze Starlight đã nhắm mục tiêu vào ngành công nghiệp cờ bạc ở Đông Nam Á bằng cách sử dụng ký số hợp lệ của PMG PTE. LTD, nhà cung cấp sản phẩm Ivacy VPN đến từ Singapore để ký dấu mã độc.
Tin tặc sử dụng ký số hợp lệ nhằm vượt qua các giải pháp an ninh, tránh bị hệ thống cảnh báo phát hiện, đồng thời len lỏi ngụy trang vào các phần mềm và luồng truy cập hợp pháp.
Các cuộc tấn công được phát hiện vào tháng 3 năm 2023, có khả năng là giai đoạn sau của chiến dịch ChattyGoblin mà công ty công nghệ ESET từng báo cáo trong Quý 4 năm 2022 đến Quý 1 năm 2023.
Tuy nhiên, việc xác định chính xác các nhóm tấn công cụ thể gặp nhiều khó khăn do có sự chia sẻ giữa nhiều công cụ và mã độc.
Mẫu mã độc AdventureQuest.exe lần đầu được tìm thấy vào tháng 5 khi các chuyên gia tình cờ phát hiện ký số giống với chứng chỉ được sử dụng cho các trình cài đặt chính thức của Ivacy VPN.
Các tệp này chứa các phiên bản phần mềm dễ bị tấn công DLL như Adobe Creative Cloud, Microsoft Edge, McAfee VirusScan. Từ đó, nhóm tin tặc Bronze Starlight sử dụng các ứng dụng này để triển khai công cụ tấn công Cobalt Strike Beacons trên các hệ thống mục tiêu.
Các tệp DLL độc hại (libcef.dll, msedge_elf.dll và LockDown.dll) được đặt bên trong tệp nén cùng với chương trình hợp pháp. Điều này khiến mã độc hoạt động trên hệ thống mà không bị phát hiện, do hệ điều hành Windows sẽ ưu tiên chạy các tệp DLL này trước phiên bản an toàn khác trong thư mục C:\Windows\System32.
Nội dung của tệp ZIP được tìm và nạp từ bộ chứa đám mây (SentinelLabs)
Ngoài ra, những tệp thực thi .NET có một tính năng hạn chế địa lý để ngăn chặn thực thi mã độc ở các quốc gia như Hoa Kỳ, Đức, Pháp, Nga, Ấn Độ, Canada hoặc Vương Quốc Anh. Thực tế, các quốc gia này nằm ngoài phạm vi mục tiêu của chiến dịch tấn công. Tuy nhiên, do lỗi trong quá trình triển khai định vị địa lý, tính năng này không hoạt động.
Giả thuyết được đưa ra: “Có khả năng khóa ký PMG PTE. LTD đã bị đánh cắp - một kỹ thuật quen thuộc mà nhóm tấn công Trung Quốc kích hoạt tính năng ký mã độc.”
Các nhà cung cấp VPN cũng đang trở thành mục tiêu cho phép tin tặc có thể truy cập dữ liệu và thông tin nhạy cảm của người dùng.
Ký số của PMG PTE. LTD
Hiện PMG PTE LTD chưa đưa ra phản hồi, vì vậy cách thức chính xác mà tin tặc chiếm quyền truy cập chứng chỉ số vẫn là câu hỏi chưa có lời giải. Trong thời gian này, cơ quan cấp chứng chỉ DigiCert đã thu hồi ký số vào đầu tháng 6 năm 2023 do vi phạm nguyên tắc "Yêu cầu cơ bản".
Tin tặc sử dụng ký số hợp lệ nhằm vượt qua các giải pháp an ninh, tránh bị hệ thống cảnh báo phát hiện, đồng thời len lỏi ngụy trang vào các phần mềm và luồng truy cập hợp pháp.
Các cuộc tấn công được phát hiện vào tháng 3 năm 2023, có khả năng là giai đoạn sau của chiến dịch ChattyGoblin mà công ty công nghệ ESET từng báo cáo trong Quý 4 năm 2022 đến Quý 1 năm 2023.
Tuy nhiên, việc xác định chính xác các nhóm tấn công cụ thể gặp nhiều khó khăn do có sự chia sẻ giữa nhiều công cụ và mã độc.
Kỹ thuật tấn công DLL side-loading
Cuộc tấn công bắt đầu bằng việc thả các tệp thực thi .NET (agentupdate_plugins.exe và AdventureQuest.exe) trên hệ thống mục tiêu, có thể là thông qua các ứng dụng trò chuyện bị nhiễm trojan, nơi tải về các tệp ZIP được bảo vệ bằng mật khẩu từ bucket Alibaba.Mẫu mã độc AdventureQuest.exe lần đầu được tìm thấy vào tháng 5 khi các chuyên gia tình cờ phát hiện ký số giống với chứng chỉ được sử dụng cho các trình cài đặt chính thức của Ivacy VPN.
Các tệp này chứa các phiên bản phần mềm dễ bị tấn công DLL như Adobe Creative Cloud, Microsoft Edge, McAfee VirusScan. Từ đó, nhóm tin tặc Bronze Starlight sử dụng các ứng dụng này để triển khai công cụ tấn công Cobalt Strike Beacons trên các hệ thống mục tiêu.
Các tệp DLL độc hại (libcef.dll, msedge_elf.dll và LockDown.dll) được đặt bên trong tệp nén cùng với chương trình hợp pháp. Điều này khiến mã độc hoạt động trên hệ thống mà không bị phát hiện, do hệ điều hành Windows sẽ ưu tiên chạy các tệp DLL này trước phiên bản an toàn khác trong thư mục C:\Windows\System32.
Nội dung của tệp ZIP được tìm và nạp từ bộ chứa đám mây (SentinelLabs)
Ngoài ra, những tệp thực thi .NET có một tính năng hạn chế địa lý để ngăn chặn thực thi mã độc ở các quốc gia như Hoa Kỳ, Đức, Pháp, Nga, Ấn Độ, Canada hoặc Vương Quốc Anh. Thực tế, các quốc gia này nằm ngoài phạm vi mục tiêu của chiến dịch tấn công. Tuy nhiên, do lỗi trong quá trình triển khai định vị địa lý, tính năng này không hoạt động.
Giả thuyết được đưa ra: “Có khả năng khóa ký PMG PTE. LTD đã bị đánh cắp - một kỹ thuật quen thuộc mà nhóm tấn công Trung Quốc kích hoạt tính năng ký mã độc.”
Các nhà cung cấp VPN cũng đang trở thành mục tiêu cho phép tin tặc có thể truy cập dữ liệu và thông tin nhạy cảm của người dùng.
Ký số của PMG PTE. LTD
Hiện PMG PTE LTD chưa đưa ra phản hồi, vì vậy cách thức chính xác mà tin tặc chiếm quyền truy cập chứng chỉ số vẫn là câu hỏi chưa có lời giải. Trong thời gian này, cơ quan cấp chứng chỉ DigiCert đã thu hồi ký số vào đầu tháng 6 năm 2023 do vi phạm nguyên tắc "Yêu cầu cơ bản".
Theo Bleeping Computer