DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Tin tặc Trung Quốc tiến hành tấn công chuỗi cung ứng để triển khai phần mềm độc hại
Theo báo cáo của Trend Micro, nhóm tin tặc có liên quan đến Trung Quốc, Iron Tiger đã sử dụng các máy chủ bị xâm nhập của một ứng dụng trò chuyện để phân phối phần mềm độc hại tới các hệ thống Windows và macOS.
Được biết đến với các tên gọi như APT27, Bronze Union, Emissary Panda, Lucky Mouse, và TG-3390 (Threat Group 3390), Iron Tiger đã hoạt động từ năm 2010, nhắm mục tiêu hàng trăm tổ chức trên toàn thế giới với mục đích gián điệp mạng.
Là một phần của các cuộc tấn công gần đây, nhóm hacker tấn công có chủ đích (APT) đã lạm dụng các máy chủ bị xâm phạm của ứng dụng nhắn tin tức thì MiMi có sẵn trên Windows, macOS, Android và iOS, để phát tán phần mềm độc hại. Phiên bản máy tính để bàn của ứng dụng được xây dựng bằng cách sử dụng khung đa nền tảng ElectronJS.
Sau khi phân tích một gói cài đặt độc hại dành cho MacOS được tải về từ máy chủ hợp pháp của MiMi, các nhà nghiên cứu của Trend Micro cho biết: "Iron Tiger đã xâm phạm máy chủ lưu trữ các trình cài đặt hợp pháp của ứng dụng trò chuyện này để tiến hành tấn công chuỗi cung ứng."
Mã độc sẽ triển khai macOS backdoor "rshell" để thu thập thông tin hệ thống, nhận các lệnh từ máy chủ ra lệnh và kiểm soát (C2) và gửi kết quả tới máy chủ này.
Backdoor này có thể mở hoặc đóng một shell, thực hiện các lệnh shell, liệt kê các thư mục, đọc tệp, ghi vào tệp, đóng tệp, chuẩn bị tệp để tải xuống và tải lên hoặc xóa tệp.
Trend Micro đã phát hiện ra nhiều mẫu rshell, trong đó có một số mẫu nhắm mục tiêu đến Linux. Mẫu cũ nhất được tải lên vào tháng 6 năm 2021.
Công ty an ninh mạng cũng tìm thấy bằng chứng cho thấy Iron Tiger đã giành quyền truy cập vào máy chủ chứa trình cài đặt MiMi vào khoảng tháng 11 năm 2021, khi hacker sửa đổi trình cài đặt Windows. Tuy nhiên, trình cài đặt macOS đã được sửa đổi vào tháng 5 năm 2022.
Theo Trend Micro, tin tặc đã tận dụng quyền truy cập vào máy chủ MiMi để sửa đổi trình cài đặt một cách nhanh chóng ngay sau khi các nhà phát triển phát hành phiên bản ứng dụng mới.
Trend Micro cho biết: "Hacker mất một tiếng rưỡi để sửa đổi trình cài đặt hợp pháp và thêm mã độc vào đó. Đối với các phiên bản cũ hơn, tin tặc phải mất một ngày để thực hiện việc sửa đổi."
Công ty cũng chỉ ra rằng mặc dù trình cài đặt MiMI có chứa mã độc không có chữ ký hợp pháp, và cần bỏ qua nhiều cảnh báo bảo mật từ hệ thống để cài đặt nhưng người dùng thường bỏ qua nó.
Trình cài đặt chứa mã độc dành cho hệ điều hành Windows sẽ tải backdoor HyperBro xuống hệ thống của nạn nhân. Backdoor này có thể thu thập thông tin hệ thống, tải lên hoặc tải xuống tệp, thao tác với tệp, liệt kê nội dung của thư mục, thực thi lệnh shell, chạy ứng dụng, chụp ảnh màn hình, kết thúc tiến trình, chèn mã vào tiến trình và điều khiển các dịch vụ.
Iron Tiger dường như chỉ nhắm vào các nạn nhân ở Đài Loan và Philippines. Trong đó 5 nạn nhân bị cài đặt backdoor HyperBro và 8 nạn nhân bị cài đặt backdoor rshell.
Hiện tại, Trend Micro phát hiện một công ty phát triển game của Đài Loan là nạn nhân của nhóm tin tặc.
Được biết đến với các tên gọi như APT27, Bronze Union, Emissary Panda, Lucky Mouse, và TG-3390 (Threat Group 3390), Iron Tiger đã hoạt động từ năm 2010, nhắm mục tiêu hàng trăm tổ chức trên toàn thế giới với mục đích gián điệp mạng.
Là một phần của các cuộc tấn công gần đây, nhóm hacker tấn công có chủ đích (APT) đã lạm dụng các máy chủ bị xâm phạm của ứng dụng nhắn tin tức thì MiMi có sẵn trên Windows, macOS, Android và iOS, để phát tán phần mềm độc hại. Phiên bản máy tính để bàn của ứng dụng được xây dựng bằng cách sử dụng khung đa nền tảng ElectronJS.
Sau khi phân tích một gói cài đặt độc hại dành cho MacOS được tải về từ máy chủ hợp pháp của MiMi, các nhà nghiên cứu của Trend Micro cho biết: "Iron Tiger đã xâm phạm máy chủ lưu trữ các trình cài đặt hợp pháp của ứng dụng trò chuyện này để tiến hành tấn công chuỗi cung ứng."
Mã độc sẽ triển khai macOS backdoor "rshell" để thu thập thông tin hệ thống, nhận các lệnh từ máy chủ ra lệnh và kiểm soát (C2) và gửi kết quả tới máy chủ này.
Backdoor này có thể mở hoặc đóng một shell, thực hiện các lệnh shell, liệt kê các thư mục, đọc tệp, ghi vào tệp, đóng tệp, chuẩn bị tệp để tải xuống và tải lên hoặc xóa tệp.
Trend Micro đã phát hiện ra nhiều mẫu rshell, trong đó có một số mẫu nhắm mục tiêu đến Linux. Mẫu cũ nhất được tải lên vào tháng 6 năm 2021.
Công ty an ninh mạng cũng tìm thấy bằng chứng cho thấy Iron Tiger đã giành quyền truy cập vào máy chủ chứa trình cài đặt MiMi vào khoảng tháng 11 năm 2021, khi hacker sửa đổi trình cài đặt Windows. Tuy nhiên, trình cài đặt macOS đã được sửa đổi vào tháng 5 năm 2022.
Theo Trend Micro, tin tặc đã tận dụng quyền truy cập vào máy chủ MiMi để sửa đổi trình cài đặt một cách nhanh chóng ngay sau khi các nhà phát triển phát hành phiên bản ứng dụng mới.
Trend Micro cho biết: "Hacker mất một tiếng rưỡi để sửa đổi trình cài đặt hợp pháp và thêm mã độc vào đó. Đối với các phiên bản cũ hơn, tin tặc phải mất một ngày để thực hiện việc sửa đổi."
Công ty cũng chỉ ra rằng mặc dù trình cài đặt MiMI có chứa mã độc không có chữ ký hợp pháp, và cần bỏ qua nhiều cảnh báo bảo mật từ hệ thống để cài đặt nhưng người dùng thường bỏ qua nó.
Trình cài đặt chứa mã độc dành cho hệ điều hành Windows sẽ tải backdoor HyperBro xuống hệ thống của nạn nhân. Backdoor này có thể thu thập thông tin hệ thống, tải lên hoặc tải xuống tệp, thao tác với tệp, liệt kê nội dung của thư mục, thực thi lệnh shell, chạy ứng dụng, chụp ảnh màn hình, kết thúc tiến trình, chèn mã vào tiến trình và điều khiển các dịch vụ.
Iron Tiger dường như chỉ nhắm vào các nạn nhân ở Đài Loan và Philippines. Trong đó 5 nạn nhân bị cài đặt backdoor HyperBro và 8 nạn nhân bị cài đặt backdoor rshell.
Hiện tại, Trend Micro phát hiện một công ty phát triển game của Đài Loan là nạn nhân của nhóm tin tặc.
Theo: securityweek