Tin tặc Trung Quốc sử dụng backdoor mới trong các cuộc tấn công APT

DDos

VIP Members
22/10/2013
524
2.191 bài viết
Tin tặc Trung Quốc sử dụng backdoor mới trong các cuộc tấn công APT
Các nhà nghiên cứu phát hiện một loạt các cuộc tấn công diễn ra hồi đầu năm sử dụng phần mềm độc hại Windows mới để giám sát các tổ chức chính phủ trong ngành công nghiệp quốc phòng của một số quốc gia ở Đông Âu.

Kaspersky xác định chiến dịch liên quan tới một nhóm hacker tấn công có chủ đích (APT) TA428 của Trung Quốc. Nhóm này được biết đến với hành vi trộm cắp thông tin và hoạt động gián điệp cũng như tấn công các tổ chức ở châu Á và Đông Âu.

TA428 đã xâm nhập thành công mạng của hàng chục mục tiêu, thậm chí chiếm quyền kiểm soát toàn bộ cơ sở hạ tầng mạng thông qua việc tấn công các hệ thống được sử dụng để quản lý các giải pháp an ninh.

Các nhà nghiên cứu của Kaspersky ICS CERT cho biết: "Cuộc tấn công nhắm vào các nhà máy công nghiệp, phòng thiết kế và viện nghiên cứu, cơ quan chính phủ, bộ và ban ngành ở một số nước Đông Âu (Belarus, Nga và Ukraine), cũng như Afghanistan".

"Nhiều manh mối và bằng chứng cho thấy gián điệp là mục đích cuối cùng của các cuộc tấn công".


TA428_campaign_targets.png

TA428 sử dụng các email lừa đảo có chứa thông tin bí mật về các tổ chức được nhắm mục tiêu và mã độc khai thác lỗ hổng CVE-2017-11882 trong Microsoft Office để triển khai phần mềm độc hại PortDoor.

PortDoor cũng được sử dụng trong các cuộc tấn công lừa đảo trực tuyến do các tin tặc Trung Quốc khởi xướng vào tháng 4 năm 2021 để xâm nhập vào hệ thống của một nhà thầu quốc phòng thiết kế tàu ngầm cho Hải quân Nga.

Sau khi xâm nhập thành công mục tiêu, nhiều backdoor có liên quan tới TA428 được triển khai, bao gồm nccTrojan, Logtu, Cotx, DNSep, và CotSam - một phần mềm độc hại hoàn toàn mới. Backdoor cho phép hacker thu thập, đánh cắp thông tin hệ thống và các tệp từ các thiết bị bị xâm nhập.

Để triển khai CotSam, hacker sử dụng tệp Microsoft Word độc hại với các mã độc tương ứng với hai phiên bản Microsoft Word 2007 cho hệ thông 32-bit và Microsoft Word 2010 cho hệ thống 64-bit.

TA428_attack_flow.png

Sau khi mở rộng tấn công trong mạng bằng cách rò quét, tìm kiếm, khai thác lỗ hổng, và khởi chạy công cụ bẻ khóa mật khẩu Ladon, hacker giành được đặc quyền miền và thu thập nhiều thông tin bí mật.

Tiếp đến, các thông tin này được gửi cho các máy chủ C2 từ các quốc gia khác nhau dưới dạng tệp ZIP được mã hóa và bảo vệ bằng mật khẩu.

Các bằng chứng cho thấy, tất cả các thông tin bị đánh cắp đều chuyển đến máy chủ có địa chỉ IP của Trung Quốc.

Thông qua việc phân tích chiến thuật, kỹ thuật và quy trình (TTP), phương thức khai thác, các công cụ và máy chủ C2 được sử dụng, và thời gian hoạt động của phần mềm độc hại, các nhà nghiên cứu của Kaspersky kết luận TA428 là nhóm đứng đằng sau các cuộc tấn công này.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Ay da, tác giả mỗi lần viết bài có thể ném nhẹ cái mã hash vào để đỡ khổ tâm đi tìm được không ạ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
1 Comment
DDos
DDos
Cảm ơn góp ý của bạn...
 
Thẻ
hacker ta428
Bên trên