VietNetwork.Vn

Chính phủ Nga và các tổ chức CNTT là mục tiêu của một chiến dịch mới phát tán một số cửa hậu và trojan như một phần của chiến dịch lừa đảo trực tuyến có tên mã là EastWind.

Các chuỗi tấn công được đặc trưng bởi việc sử dụng các tệp đính kèm lưu trữ RAR chứa tệp lối tắt Windows (LNK), khi mở, sẽ kích hoạt trình tự lây nhiễm, đỉnh điểm là triển khai phần mềm độc hại như GrewApacha, phiên bản cập nhật của cửa sau CloudSorcerer và một cấy ghép không có giấy tờ trước đây có tên là PlugY.


Công ty an ninh mạng Nga Kaspersky cho biết PlugY "được tải xuống thông qua cửa sau CloudSorcerer, có một bộ lệnh mở rộng và hỗ trợ ba giao thức khác nhau để liên lạc với máy chủ ra lệnh và kiểm soát".

Vectơ lây nhiễm ban đầu dựa vào tệp LNK bị bẫy, sử dụng kỹ thuật tải phụ DLL để khởi chạy tệp DLL độc hại sử dụng Dropbox làm cơ chế liên lạc để thực thi các lệnh trinh sát và tải xuống các tải trọng bổ sung.

Trong số các phần mềm độc hại được triển khai bằng DLL có GrewApacha, một backdoor được biết đến trước đây có liên kết với nhóm APT31 có liên kết với Trung Quốc. Cũng được khởi chạy bằng cách sử dụng tải phụ DLL, nó sử dụng hồ sơ GitHub do kẻ tấn công kiểm soát làm trình phân giải lỗi chết để lưu trữ chuỗi được mã hóa Base64 của máy chủ C2 thực tế.

Mặt khác, CloudSorcerer là một công cụ gián điệp mạng tinh vi được sử dụng để giám sát lén lút, thu thập và lọc dữ liệu thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Giống như trường hợp của GrewApacha, biến thể cập nhật tận dụng các nền tảng hợp pháp như LiveJournal và Quora làm máy chủ C2 ban đầu.

Kaspersky cho biết: "Giống như các phiên bản trước của CloudSorcerer, tiểu sử hồ sơ chứa mã thông báo xác thực được mã hóa để tương tác với dịch vụ đám mây".

Hơn nữa, nó sử dụng cơ chế bảo vệ dựa trên mã hóa để đảm bảo phần mềm độc hại chỉ được kích hoạt trên máy tính của nạn nhân bằng cách sử dụng một khóa duy nhất bắt nguồn từ chức năng Windows GetTickCount() khi chạy.

Họ phần mềm độc hại thứ ba được quan sát thấy trong các cuộc tấn công vào PlugY, một cửa hậu có đầy đủ tính năng kết nối với máy chủ quản lý bằng TCP, UDP hoặc các đường ống được đặt tên và có khả năng thực thi các lệnh shell, giám sát màn hình thiết bị, ghi lại các lần nhấn phím và chụp bảng nhớ tạm nội dung.

Kaspersky cho biết phân tích mã nguồn của PlugX đã phát hiện ra những điểm tương đồng với một cửa hậu đã biết có tên DRBControl (hay còn gọi là Clambling), được cho là do các cụm mối đe dọa mối quan hệ Trung Quốc được theo dõi là APT27 và APT41.

Công ty cho biết: "Những kẻ tấn công đằng sau chiến dịch EastWind đã sử dụng các dịch vụ mạng phổ biến làm máy chủ lệnh – GitHub, Dropbox, Quora, cũng như Russian LiveJournal và Yandex Disk".

Tiết lộ của Kaspersky cũng trình bày chi tiết về một cuộc tấn công Watering Hole liên quan đến việc xâm phạm một trang web hợp pháp liên quan đến nguồn cung cấp khí đốt ở Nga để phát tán sâu có tên Cmoon. Loại sâu này có thể thu thập dữ liệu bí mật và thanh toán, chụp ảnh màn hình, tải xuống phần mềm độc hại bổ sung và khởi chạy tấn công từ chối phân phối. dịch vụ (DDoS) tấn công vào các mục tiêu quan tâm.

Phần mềm độc hại cũng thu thập các tệp và dữ liệu từ nhiều trình duyệt web, ví tiền điện tử, ứng dụng nhắn tin tức thời, ứng dụng khách SSH, phần mềm FTP, ứng dụng quay và phát video, trình xác thực, công cụ máy tính từ xa và VPN.

"CMoon là một loại sâu được viết bằng .NET, có chức năng rộng rãi để đánh cắp dữ liệu và điều khiển từ xa", nó cho biết. "Ngay sau khi cài đặt, tệp thực thi bắt đầu giám sát các ổ USB được kết nối. Điều này cho phép bạn đánh cắp các tệp mà kẻ tấn công có thể quan tâm từ phương tiện lưu động, cũng như sao chép sâu vào chúng và lây nhiễm các máy tính khác nơi ổ đĩa sẽ được sử dụng."