VietNetwork.Vn

Ba nhóm hoạt động đe dọa có liên quan đến Trung Quốc đã được phát hiện đang xâm phạm nhiều tổ chức chính phủ hơn ở Đông Nam Á như một phần của chiến dịch do nhà nước bảo trợ có tên mã là Crimson Palace, cho thấy phạm vi hoạt động gián điệp đang được mở rộng.

Công ty an ninh mạng Sophos, đơn vị đã theo dõi cuộc tấn công mạng, cho biết cuộc tấn công này bao gồm ba nhóm xâm nhập được theo dõi là Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) và Cluster Charlie (STAC1305). STAC là viết tắt của "cụm hoạt động đe dọa an ninh".


Các nhà nghiên cứu bảo mật Mark Parsons, Morgan Demboski và Sean Gallagher cho biết trong một báo cáo kỹ thuật chia sẻ với The Hacker News: "Những kẻ tấn công thường xuyên sử dụng các mạng lưới dịch vụ công và tổ chức bị xâm phạm khác trong khu vực đó để phân phối phần mềm độc hại và các công cụ dưới vỏ bọc là điểm truy cập đáng tin cậy".

Một khía cạnh đáng chú ý của các cuộc tấn công là nó liên quan đến việc sử dụng các hệ thống của một tổ chức không tên làm điểm chuyển tiếp lệnh và kiểm soát (C2) và là nơi tập trung các công cụ. Microsoft Exchange Server bị xâm phạm của một tổ chức thứ hai được cho là đã được sử dụng để lưu trữ phần mềm độc hại.

Công ty an ninh mạng lần đầu tiên ghi nhận Crimson Palace vào đầu tháng 6 năm 2024, với các cuộc tấn công diễn ra từ tháng 3 năm 2023 đến tháng 4 năm 2024.

Trong khi hoạt động ban đầu liên quan đến Cluster Bravo, trùng lặp với nhóm đe dọa có tên Unfading Sea Haze, chỉ giới hạn trong tháng 3 năm 2023, một làn sóng tấn công mới được phát hiện trong khoảng thời gian từ tháng 1 đến tháng 6 năm 2024 đã được quan sát thấy nhắm vào 11 tổ chức và cơ quan khác trong cùng khu vực.


Một loạt các cuộc tấn công mới do Cluster Charlie, một cụm được gọi là Earth Longzhi, dàn dựng cũng đã được xác định trong khoảng thời gian từ tháng 9 năm 2023 đến tháng 6 năm 2024, một số trong đó cũng liên quan đến việc triển khai các khuôn khổ C2 như Cobalt Strike, Havoc và XieBroC2 để tạo điều kiện cho việc khai thác sau và cung cấp các trọng tải bổ sung như SharpHound để lập bản đồ cơ sở hạ tầng Active Directory.

"Việc rò rỉ dữ liệu có giá trị tình báo vẫn là mục tiêu sau khi hoạt động được nối lại", các nhà nghiên cứu cho biết. "Tuy nhiên, phần lớn nỗ lực của họ dường như tập trung vào việc thiết lập lại và mở rộng chỗ đứng của họ trên mạng mục tiêu bằng cách bỏ qua phần mềm EDR và nhanh chóng thiết lập lại quyền truy cập khi các thiết bị cấy ghép C2 của họ đã bị chặn".


Một khía cạnh quan trọng khác là Cluster Charlie phụ thuộc rất nhiều vào việc chiếm quyền điều khiển DLL để thực thi phần mềm độc hại, một cách tiếp cận trước đây được những kẻ tấn công đứng sau Cluster Alpha áp dụng, cho thấy sự "thụ phấn chéo" của các chiến thuật.

Một số chương trình mã nguồn mở khác được kẻ tấn công sử dụng bao gồm RealBlindingEDR và Alcatraz, cho phép chấm dứt các tiến trình diệt vi-rút và làm tối các tệp thực thi di động (ví dụ:.exe,.dll và.sys) với mục đích ẩn mình.

Làm tròn kho vũ khí phần mềm độc hại của nhóm này là một keylogger chưa từng được biết đến có tên mã là TattleTale, được phát hiện lần đầu vào tháng 8 năm 2023 và có khả năng thu thập dữ liệu trình duyệt Google Chrome và Microsoft Edge.

"Phần mềm độc hại có thể lấy dấu vân tay của hệ thống bị xâm phạm và kiểm tra các ổ đĩa vật lý và mạng được gắn kết bằng cách mạo danh người dùng đã đăng nhập", các nhà nghiên cứu giải thích.

"TattleTale cũng thu thập tên bộ điều khiển miền và đánh cắp Chính sách thông tin truy vấn LSA (Cơ quan an ninh cục bộ), được biết là chứa thông tin nhạy cảm liên quan đến chính sách mật khẩu, cài đặt bảo mật và đôi khi là mật khẩu được lưu trong bộ nhớ đệm."

Nói một cách ngắn gọn, ba cụm này hoạt động song song với nhau, đồng thời tập trung vào các nhiệm vụ cụ thể trong chuỗi tấn công: xâm nhập vào môi trường mục tiêu và tiến hành do thám (Alpha), đào sâu vào mạng lưới bằng nhiều cơ chế C2 khác nhau (Bravo) và đánh cắp dữ liệu có giá trị (Charlie).

"Trong suốt quá trình giao tranh, kẻ thù dường như liên tục thử nghiệm và tinh chỉnh các kỹ thuật, công cụ và hoạt động của chúng", các nhà nghiên cứu kết luận. "Khi chúng tôi triển khai các biện pháp đối phó với phần mềm độc hại tùy chỉnh của chúng, chúng kết hợp việc sử dụng các công cụ do chúng phát triển với các công cụ chung, mã nguồn mở thường được các nhà kiểm tra xâm nhập hợp pháp sử dụng, thử nghiệm các kết hợp khác nhau".