Tin tặc LongNosedGoblin sử dụng chính sách nhóm Windows để triển khai mã độc

[T-X]

Một nhóm tin tặc có liên hệ với Trung Quốc, được đặt tên là LongNosedGoblin, trước đây chưa từng được ghi nhận, được cho là thủ phạm của một loạt các cuộc tấn công mạng nhắm vào các cơ quan chính phủ ở Đông Nam Á và Nhật Bản.

Mục tiêu cuối cùng của các cuộc tấn công này là hoạt động gián điệp mạng, công ty an ninh mạng ESET của Slovakia cho biết trong một báo cáo được công bố hôm nay. Cụm hoạt động đe dọa này được đánh giá là đã hoạt động ít nhất từ tháng 9 năm 2023.

Các nhà nghiên cứu bảo mật Anton Cherepanov và Peter Strýček cho biết : "LongNosedGoblin sử dụng Chính sách Nhóm để triển khai phần mềm độc hại trên toàn bộ mạng bị xâm nhập và các dịch vụ đám mây (ví dụ: Microsoft OneDrive và Google Drive) làm máy chủ điều khiển và kiểm soát (C&C)".

Chính sách nhóm (Group Policy) là một cơ chế để quản lý các thiết lập và quyền hạn trên các máy tính Windows. Theo Microsoft, Chính sách nhóm có thể được sử dụng để xác định cấu hình cho các nhóm người dùng và máy tính khách, cũng như quản lý các máy chủ.

Các cuộc tấn công này được đặc trưng bởi việc sử dụng một bộ công cụ tùy chỉnh đa dạng, chủ yếu bao gồm các ứng dụng C#/.NET -

    NosyHistorian, thu thập lịch sử duyệt web từ Google Chrome, Microsoft Edge và Mozilla Firefox.
    NosyDoor là một phần mềm độc hại sử dụng Microsoft OneDrive làm máy chủ điều khiển (C&C) và thực thi các lệnh cho phép nó đánh cắp tập tin, xóa tập tin và thực thi các lệnh dòng lệnh.
    NosyStealer, phần mềm dùng để trích xuất dữ liệu trình duyệt từ Google Chrome và Microsoft Edge sang Google Drive dưới dạng tệp lưu trữ TAR được mã hóa.
    NosyDownloader, dùng để tải xuống và chạy một payload trong bộ nhớ, ví dụ như NosyLogger.
    NosyLogger, một phiên bản sửa đổi của DuckSharp được sử dụng để ghi lại các thao tác gõ phím.

ESET cho biết họ lần đầu tiên phát hiện hoạt động liên quan đến nhóm tin tặc này vào tháng 2 năm 2024 trên hệ thống của một cơ quan chính phủ ở Đông Nam Á, và cuối cùng phát hiện ra rằng Group Policy đã được sử dụng để phát tán phần mềm độc hại đến nhiều hệ thống thuộc cùng một tổ chức. Phương thức truy cập ban đầu chính xác được sử dụng trong các cuộc tấn công hiện vẫn chưa được biết.

Phân tích sâu hơn cho thấy, mặc dù nhiều nạn nhân bị ảnh hưởng bởi NosyHistorian từ tháng 1 đến tháng 3 năm 2024, nhưng chỉ một phần nhỏ trong số đó bị nhiễm NosyDoor, cho thấy phương pháp tiếp cận có mục tiêu hơn. Trong một số trường hợp, phần mềm được sử dụng để triển khai backdoor bằng cách tiêm AppDomainManager được phát hiện có chứa "các rào cản thực thi" được thiết kế để hạn chế hoạt động chỉ trên máy tính của các nạn nhân cụ thể.

Ngoài ra, LongNosedGoblin còn sử dụng các công cụ khác như proxy SOCKS5 ngược, tiện ích dùng để chạy trình ghi video nhằm thu âm và ghi hình, và trình tải Cobalt Strike.

Công ty an ninh mạng lưu ý rằng kỹ thuật của nhóm tin tặc này có những điểm trùng lặp mơ hồ với các nhóm được theo dõi là ToddyCat và Erudite Mogwai, nhưng nhấn mạnh rằng không có bằng chứng chắc chắn nào liên kết chúng với nhau. Tuy nhiên, sự tương đồng giữa NosyDoor và LuckyStrike Agent và sự hiện diện của cụm từ "Phiên bản trả phí" trong đường dẫn PDB của LuckyStrike Agent đã làm dấy lên khả năng phần mềm độc hại này có thể được bán hoặc cấp phép cho các nhóm tin tặc khác.

"Sau đó, chúng tôi đã xác định được một trường hợp khác của biến thể NosyDoor nhắm mục tiêu vào một tổ chức ở một quốc gia thuộc EU, một lần nữa sử dụng các kỹ thuật và chiến thuật khác nhau, và sử dụng dịch vụ đám mây Yandex Disk làm máy chủ C&C", các nhà nghiên cứu lưu ý. "Việc sử dụng biến thể NosyDoor này cho thấy phần mềm độc hại có thể được chia sẻ giữa nhiều nhóm tội phạm mạng có liên kết với Trung Quốc."