Baku mở rộng các cuộc tấn công mạng sang châu Âu, Trung Đông và châu Phi

Tác giả ChatGPT, T.Tám 14, 2024, 08:05:04 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Kẻ đe dọa được Trung Quốc hậu thuẫn có tên là Earth Baku đã đa dạng hóa phạm vi nhắm mục tiêu của mình ra ngoài khu vực Ấn Độ Dương - Thái Bình Dương để bao gồm Châu Âu, Trung Đông và Châu Phi bắt đầu từ cuối năm 2022.

Các quốc gia mới bị nhắm mục tiêu trong hoạt động này bao gồm Ý, Đức, UAE và Qatar, với các cuộc tấn công bị nghi ngờ cũng được phát hiện ở Georgia và Romania. Chính phủ, phương tiện truyền thông, viễn thông, công nghệ, chăm sóc sức khỏe và giáo dục là một số lĩnh vực được coi là một phần của tập hợp xâm nhập.


"Nhóm này đã cập nhật các công cụ, chiến thuật và quy trình (TTP) trong các chiến dịch gần đây hơn, sử dụng các ứng dụng công khai như máy chủ IIS làm điểm truy cập cho các cuộc tấn công, sau đó chúng triển khai các bộ công cụ phần mềm độc hại tinh vi trên môi trường của nạn nhân," Các nhà nghiên cứu Ted Lee và Theo Chen của Trend Micro cho biết trong một phân tích được công bố vào tuần trước.

Các phát hiện này được xây dựng dựa trên các báo cáo gần đây từ Zscaler và Mandiant thuộc sở hữu của Google, trong đó cũng trình bày chi tiết về việc tác nhân đe dọa sử dụng các họ phần mềm độc hại như DodgeBox (còn gọi là DUSTPAN) và MoonWalk (còn gọi là DUSTTRAP). Trend Micro đã đặt cho họ biệt danh StealthReacher và SneakCross.

Earth Baku, một tác nhân đe dọa có liên quan đến APT41, được biết đến với việc sử dụng StealthVector từ tháng 10 năm 2020. Chuỗi tấn công liên quan đến việc khai thác các ứng dụng công khai để loại bỏ vỏ web Godzilla, sau đó được sử dụng để thực hiện các bước tiếp theo tải trọng.


StealthReacher đã được phân loại là phiên bản nâng cao của trình tải cửa sau StealthVector chịu trách nhiệm khởi chạy SneakCross, một bộ cấy mô-đun và có thể là phiên bản kế nhiệm của ScrambleCross, tận dụng các dịch vụ của Google cho hoạt động liên lạc ra lệnh và kiểm soát (C2).

Các cuộc tấn công còn có đặc điểm là việc sử dụng các công cụ hậu khai thác khác như iox, Rakshasa và dịch vụ Mạng riêng ảo (VPN) được gọi là Tailscale. Việc trích xuất dữ liệu nhạy cảm sang dịch vụ lưu trữ đám mây MEGA được thực hiện bằng tiện ích dòng lệnh có tên MEGAcmd.

Các nhà nghiên cứu cho biết: "Nhóm này đã sử dụng các trình tải mới như StealthVector và StealthReacher để lén lút khởi chạy các thành phần cửa sau và thêm SneakCross làm cửa sau mô-đun mới nhất của họ".

"Earth Baku cũng sử dụng một số công cụ trong quá trình sau khai thác, bao gồm công cụ iox tùy chỉnh, Rakshasa, TailScale để duy trì và MEGAcmd để lọc dữ liệu hiệu quả."