Phần mềm độc hại PlugX và Bookworm nhắm vào các mạng viễn thông châu Á và ASEAN

[Starlink]

Các ngành viễn thông và sản xuất tại các quốc gia Trung và Nam Á đã trở thành mục tiêu của một chiến dịch đang diễn ra nhằm phát tán một biến thể mới của phần mềm độc hại đã biết có tên là PlugX (hay còn gọi là Korplug hoặc SOGU).

"Các tính năng của biến thể mới này trùng lặp với cả backdoor RainyDay và Turian, bao gồm việc lạm dụng cùng các ứng dụng hợp pháp để tải DLL, thuật toán XOR-RC4-RtlDecompressBuffer được sử dụng để mã hóa/giải mã dữ liệu và các khóa RC4 được sử dụng", các nhà nghiên cứu Joey Chen và Takahiro Takeda của Cisco Talos cho biết trong một bài phân tích được công bố trong tuần này.

Công ty an ninh mạng lưu ý rằng cấu hình liên quan đến biến thể PlugX khác biệt đáng kể so với định dạng cấu hình PlugX thông thường, thay vào đó áp dụng cùng cấu trúc được sử dụng trong RainyDay, một backdoor liên quan đến một tác nhân đe dọa có liên hệ với Trung Quốc được gọi là Lotus Panda (hay còn gọi là Naikon APT). Nó cũng có khả năng được Kaspersky theo dõi với tên gọi FoundCore và được cho là của một nhóm đe dọa nói tiếng Trung Quốc mà họ gọi là Cycldek.

PlugX là một trojan truy cập từ xa dạng mô-đun (RAT) được nhiều nhóm tin tặc có liên hệ với Trung Quốc sử dụng rộng rãi, nhưng nổi bật nhất là Mustang Panda (hay còn gọi là BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TEMP.Hex và Twill Typhoon).

Mặt khác, Turian (hay còn gọi là Quarian hoặc Whitebird) được đánh giá là một cửa hậu được sử dụng độc quyền trong các cuộc tấn công mạng nhắm vào Trung Đông bởi một nhóm tấn công mạng tiên tiến (APT) khác có liên hệ với Trung Quốc có tên là BackdoorDiplomacy (hay còn gọi là CloudComputating hoặc Faking Dragon).

Các mô hình nạn nhân – đặc biệt là tập trung vào các công ty viễn thông – và việc triển khai phần mềm độc hại kỹ thuật đã đưa ra bằng chứng cho thấy có khả năng có mối liên hệ giữa Lotus Panda và BackdoorDiplomacy, làm dấy lên khả năng hai cụm này là một hoặc chúng đang lấy công cụ từ một nhà cung cấp chung.

Trong một vụ việc bị công ty phát hiện, Naikon được cho là đã nhắm mục tiêu vào một công ty viễn thông ở Kazakhstan, một quốc gia có chung đường biên giới với Uzbekistan, vốn đã bị BackdoorDiplomacy nhắm đến trước đó. Hơn nữa, cả hai nhóm tin tặc đều bị phát hiện nhắm mục tiêu vào các quốc gia Nam Á.

Chuỗi tấn công về cơ bản bao gồm việc lạm dụng một tệp thực thi hợp lệ được liên kết với Ứng dụng Popup Di động để tải một tệp DLL độc hại, sau đó được sử dụng để giải mã và khởi chạy các payload PlugX, RainyDay và Turian trong bộ nhớ. Các đợt tấn công gần đây do kẻ tấn công dàn dựng chủ yếu dựa vào PlugX, sử dụng cùng cấu trúc với RainyDay và bao gồm một plugin keylogger nhúng.

"Mặc dù chúng tôi không thể kết luận rằng có mối liên hệ rõ ràng giữa Naikon và BackdoorDiplomacy, nhưng có những khía cạnh trùng lặp đáng kể - chẳng hạn như lựa chọn mục tiêu, phương pháp mã hóa/giải mã, tái sử dụng khóa mã hóa và việc sử dụng các công cụ được hỗ trợ bởi cùng một nhà cung cấp", Talos nói. "Những điểm tương đồng này cho thấy mối liên hệ ở mức độ tin cậy trung bình với một tác nhân nói tiếng Trung Quốc trong chiến dịch này."

Tiết lộ này được đưa ra trong bối cảnh Đơn vị 42 của Palo Alto Networks đang làm sáng tỏ hoạt động bên trong của phần mềm độc hại Bookworm được nhóm tin tặc Mustang Panda sử dụng từ năm 2015 để giành quyền kiểm soát toàn diện các hệ thống bị xâm nhập. Mã độc RAT tiên tiến này được trang bị khả năng thực thi các lệnh tùy ý, tải lên/tải xuống tệp, đánh cắp dữ liệu và thiết lập quyền truy cập liên tục.

Đầu tháng 3 này, nhà cung cấp an ninh mạng cho biết họ đã xác định được các cuộc tấn công nhắm vào các quốc gia liên kết với Hiệp hội các quốc gia Đông Nam Á (ASEAN) để phát tán phần mềm độc hại.

Bookworm sử dụng các tên miền trông có vẻ hợp pháp hoặc cơ sở hạ tầng bị xâm phạm cho mục đích C2 để trà trộn vào lưu lượng mạng thông thường. Một số biến thể của phần mềm độc hại này cũng được phát hiện có điểm chung với TONESHELL, một backdoor đã được biết đến có liên quan đến Mustang Pana kể từ cuối năm 2022.

Giống như PlugX và TONESHELL, các chuỗi tấn công phân phối Bookworm dựa vào việc tải DLL để thực thi tải trọng, mặc dù các biến thể mới hơn đã áp dụng một kỹ thuật liên quan đến việc đóng gói shellcode dưới dạng chuỗi mã định danh duy nhất toàn cầu (UUID), sau đó được giải mã và thực thi.

"Bookworm nổi tiếng với kiến trúc mô-đun độc đáo, cho phép mở rộng chức năng cốt lõi bằng cách tải các mô-đun bổ sung trực tiếp từ máy chủ chỉ huy và điều khiển (C2) của nó", nhà nghiên cứu Kyle Wilhoit của Unit 42 cho biết. "Tính mô-đun này khiến việc phân tích tĩnh trở nên khó khăn hơn, vì mô-đun Leader dựa vào các DLL khác để cung cấp chức năng cụ thể."

"Việc triển khai và điều chỉnh Bookworm này, diễn ra song song với các hoạt động khác của Stately Taurus, cho thấy vai trò lâu dài của nó trong kho vũ khí của nhóm. Nó cũng cho thấy cam kết bền vững và lâu dài của nhóm trong việc phát triển và sử dụng nó."