DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Tin tặc Trung Quốc sử dụng backdoor mới tấn công các tổ chức quân sự
Công ty an ninh mạng Bitdefender vừa công bố một nghiên cứu mới về chiến dịch gián điệp mạng trên diện rộng nhắm vào các tổ chức quân sự tại Đông Nam Á trong gần 2 năm.
Nhóm tin tặc đứng sau chiến dịch này có tên “Naikon APT” bị nghi ngờ có quan hệ với Trung Quốc. Chúng sử dụng các kỹ chiến thuật và quy trình được thay đổi liên tục, gồm cả việc triển khai các backdoor mới là “Nebulae” và “RainyDay” để đánh để đánh cắp dữ liệu. Các hành vi của nhóm tin tặc này được thực hiện từ giữa tháng 06/2019 đến tháng 03/2021.
Các nhà nghiên cứu cho biết: “Naikon APT đã sử dụng Aria-Body loader và Nebulae trong giai đoạn đầu của cuộc tấn công. Bắt đầu từ tháng 9 năm 2020, nhóm này đã đưa cửa hậu RainyDay vào bộ công cụ của chúng với mục đích gián điệp mạng và đánh cắp dữ liệu".
Naikon (hay còn gọi là Override Panda, Lotus Panda hoặc Hellsing) trước đó đã bị phát hiện nhắm mục tiêu vào các tổ chức chính phủ ở khu vực Châu Á - Thái Bình Dương (APAC) để tìm kiếm thông tin tình báo địa chính trị.
Ban đầu, Naikon được cho là đã vượt qua được hệ thống giám sát khi bị phát hiện lần đầu vào năm 2015, thì các bằng chứng xuất hiện vào cuối tháng 5 năm 2020 lại cho thấy chúng đã sử dụng một backdoor mới có tên Aria-Body để lén lút đột nhập vào mạng lưới và lợi dụng cơ sở hạ tầng bị xâm nhập làm máy chủ C&C nhằm phát động các cuộc tấn công nhắm vào các tổ chức khác.
Các cuộc tấn công mới được Bitdefender phát hiện đã sử dụng RainyDay làm cửa hậu chính. Kẻ tấn công sử dụng nó để tiến hành do thám, phát tán mã độc, mở rộng phạm vi lây nhiễm trong mạng và trích xuất thông tin nhạy cảm. Cửa hậu này được thực thi bằng kỹ thuật DLL side-loading, một phương pháp được cho là thành công để nạp các DLL độc hại nhằm đánh cắp luồng thực thi của một chương trình hợp pháp như Outlook Item Finder.
Mã độc cũng được cài cắm một backdoor thứ 2 là Nebulae để thu thập thông tin hệ thống, thực hiện thao tác các tệp tin cũng như tải xuống và tải lên các tệp tùy ý thông qua máy chủ C&C với mục đích sao lưu. Các nhà nghiên cứu cho biết: “Cửa hậu thứ hai được xem là biện pháp phòng ngừa để vẫn “nằm vùng” được trong hệ thống trong trường hợp bị phát hiện dấu hiệu lây nhiễm."
Các công cụ khác được triển khai bởi cửa hậu RainyDay bao gồm trình thu thập tệp tin, lựa chọn các file đã bị thay đổi gần đây có extension (phần mở rộng) cụ thể và tải chúng lên Dropbox, một trình thu thập thông tin đăng nhập và nhiều tiện ích mạng khác như công cụ quét NetBIOS và proxy.
Ngoài ra, Bitdefender cho biết RainyDay có những điểm tương đồng với backdoor Foundcore, được Kaspersky phát hiện đầu tháng 4/2021 khi cùng sử dụng kỹ thuật DLL side-loading để thực thi. Foundcore được cho là do nhóm tin tặc Cycldek sử dụng trong chiến dịch gián điệp mạng nhắm trực tiếp vào các tổ chức chính phủ và quân đội tại Việt Nam.
Nhóm tin tặc đứng sau chiến dịch này có tên “Naikon APT” bị nghi ngờ có quan hệ với Trung Quốc. Chúng sử dụng các kỹ chiến thuật và quy trình được thay đổi liên tục, gồm cả việc triển khai các backdoor mới là “Nebulae” và “RainyDay” để đánh để đánh cắp dữ liệu. Các hành vi của nhóm tin tặc này được thực hiện từ giữa tháng 06/2019 đến tháng 03/2021.
Các nhà nghiên cứu cho biết: “Naikon APT đã sử dụng Aria-Body loader và Nebulae trong giai đoạn đầu của cuộc tấn công. Bắt đầu từ tháng 9 năm 2020, nhóm này đã đưa cửa hậu RainyDay vào bộ công cụ của chúng với mục đích gián điệp mạng và đánh cắp dữ liệu".
Naikon (hay còn gọi là Override Panda, Lotus Panda hoặc Hellsing) trước đó đã bị phát hiện nhắm mục tiêu vào các tổ chức chính phủ ở khu vực Châu Á - Thái Bình Dương (APAC) để tìm kiếm thông tin tình báo địa chính trị.
Ban đầu, Naikon được cho là đã vượt qua được hệ thống giám sát khi bị phát hiện lần đầu vào năm 2015, thì các bằng chứng xuất hiện vào cuối tháng 5 năm 2020 lại cho thấy chúng đã sử dụng một backdoor mới có tên Aria-Body để lén lút đột nhập vào mạng lưới và lợi dụng cơ sở hạ tầng bị xâm nhập làm máy chủ C&C nhằm phát động các cuộc tấn công nhắm vào các tổ chức khác.
Các cuộc tấn công mới được Bitdefender phát hiện đã sử dụng RainyDay làm cửa hậu chính. Kẻ tấn công sử dụng nó để tiến hành do thám, phát tán mã độc, mở rộng phạm vi lây nhiễm trong mạng và trích xuất thông tin nhạy cảm. Cửa hậu này được thực thi bằng kỹ thuật DLL side-loading, một phương pháp được cho là thành công để nạp các DLL độc hại nhằm đánh cắp luồng thực thi của một chương trình hợp pháp như Outlook Item Finder.
Mã độc cũng được cài cắm một backdoor thứ 2 là Nebulae để thu thập thông tin hệ thống, thực hiện thao tác các tệp tin cũng như tải xuống và tải lên các tệp tùy ý thông qua máy chủ C&C với mục đích sao lưu. Các nhà nghiên cứu cho biết: “Cửa hậu thứ hai được xem là biện pháp phòng ngừa để vẫn “nằm vùng” được trong hệ thống trong trường hợp bị phát hiện dấu hiệu lây nhiễm."
Các công cụ khác được triển khai bởi cửa hậu RainyDay bao gồm trình thu thập tệp tin, lựa chọn các file đã bị thay đổi gần đây có extension (phần mở rộng) cụ thể và tải chúng lên Dropbox, một trình thu thập thông tin đăng nhập và nhiều tiện ích mạng khác như công cụ quét NetBIOS và proxy.
Ngoài ra, Bitdefender cho biết RainyDay có những điểm tương đồng với backdoor Foundcore, được Kaspersky phát hiện đầu tháng 4/2021 khi cùng sử dụng kỹ thuật DLL side-loading để thực thi. Foundcore được cho là do nhóm tin tặc Cycldek sử dụng trong chiến dịch gián điệp mạng nhắm trực tiếp vào các tổ chức chính phủ và quân đội tại Việt Nam.
Theo The Hacker News