VietNetwork.Vn

Một nhóm tin tặc tấn công dai dẳng (APT) có liên hệ với Trung Quốc được cho là đã thực hiện một chiến dịch gián điệp mạng có mục tiêu cao, trong đó kẻ thù đã làm nhiễm độc các yêu cầu Hệ thống Tên miền (DNS) để phát tán phần mềm độc hại MgBot đặc trưng của chúng trong các cuộc tấn công nhắm vào các nạn nhân ở Thổ Nhĩ Kỳ, Trung Quốc và Ấn Độ.

Theo Kaspersky, hoạt động này được ghi nhận từ tháng 11 năm 2022 đến tháng 11 năm 2024. Nó được liên kết với một nhóm tin tặc có tên Evasive Panda, được theo dõi dưới các tên gọi Bronze Highland, Daggerfly và StormBamboo. Nhóm này được đánh giá là đã hoạt động ít nhất từ năm 2012.


"Nhóm này chủ yếu thực hiện các cuộc tấn công trung gian (AitM) nhắm vào các nạn nhân cụ thể," nhà nghiên cứu Fatih Şensoy của Kaspersky cho biết trong một phân tích chuyên sâu. "Các kỹ thuật này bao gồm việc cài đặt các phần mềm độc hại vào các vị trí cụ thể và lưu trữ các phần mã hóa của phần mềm độc hại trên các máy chủ do kẻ tấn công kiểm soát, được giải mã như một phản hồi cho các yêu cầu DNS của trang web cụ thể."

Đây không phải là lần đầu tiên khả năng đầu độc DNS của Evasive Panda được đưa ra ánh sáng. Ngay từ tháng 4 năm 2023, ESET đã lưu ý rằng nhóm tin tặc này có thể đã thực hiện một cuộc tấn công xâm nhập chuỗi cung ứng hoặc một cuộc tấn công AitM để phát tán các phiên bản bị nhiễm mã độc của các ứng dụng hợp pháp như Tencent QQ trong một cuộc tấn công nhắm vào một tổ chức phi chính phủ (NGO) quốc tế ở Trung Quốc đại lục.

Vào tháng 8 năm 2024, một báo cáo từ Volexity đã tiết lộ cách thức tin tặc xâm nhập vào một nhà cung cấp dịch vụ internet (ISP) giấu tên bằng cách sử dụng tấn công đầu độc DNS để phát tán các bản cập nhật phần mềm độc hại đến các mục tiêu quan tâm.

Evasive Panda cũng là một trong nhiều nhóm hoạt động đe dọa liên kết với Trung Quốc đã dựa vào việc tấn công AitM để phát tán phần mềm độc hại. Trong một phân tích hồi tháng trước, ESET cho biết họ đang theo dõi 10 nhóm hoạt động từ Trung Quốc đã tận dụng kỹ thuật này để truy cập ban đầu hoặc di chuyển ngang, bao gồm LuoYu, BlackTech, TheWizards APT, Blackwood, PlushDaemon và FontGoblin.

Trong các cuộc tấn công được Kaspersky ghi nhận, kẻ tấn công được phát hiện sử dụng các chiêu trò giả mạo bản cập nhật phần mềm của bên thứ ba, chẳng hạn như SohuVA, một dịch vụ phát trực tuyến video từ công ty internet Trung Quốc Sohu. Bản cập nhật độc hại được phân phối từ tên miền "p2p.hd.sohu.com[.]cn," có khả năng cho thấy một cuộc tấn công đầu độc DNS.

"Có khả năng tin tặc đã sử dụng tấn công đầu độc DNS để thay đổi phản hồi DNS của   Đăng nhập để xem liên kết[.]cn thành địa chỉ IP của máy chủ do tin tặc kiểm soát, trong khi mô-đun cập nhật chính hãng của ứng dụng SohuVA đang cố gắng cập nhật các tệp nhị phân nằm trong appdata\roaming\shapp\7.0.18.0\package," Şensoy giải thích.

Công ty cung cấp phần mềm an ninh mạng của Nga cho biết họ cũng đã xác định được các chiến dịch khác trong đó Evasive Panda sử dụng trình cập nhật giả mạo cho iQIYI Video của Baidu, cũng như IObit Smart Defrag và Tencent QQ.

Cuộc tấn công mở đường cho việc triển khai một trình tải ban đầu chịu trách nhiệm khởi chạy shellcode, từ đó lấy một shellcode giai đoạn hai được mã hóa dưới dạng tệp hình ảnh PNG, một lần nữa bằng cách tấn công làm nhiễm độc DNS từ trang web hợp pháp dictionary[.]com.


Evasive Panda được cho là đã thao túng địa chỉ IP liên kết với dictionary[.]com, khiến các hệ thống của nạn nhân phân giải trang web thành địa chỉ IP do kẻ tấn công kiểm soát dựa trên vị trí địa lý và nhà cung cấp dịch vụ internet của họ.

Hiện vẫn chưa rõ kẻ tấn công đang làm sai lệch phản hồi DNS bằng cách nào. Tuy nhiên, có hai kịch bản khả thi được nghi ngờ: hoặc các nhà cung cấp dịch vụ Internet (ISP) mà các nạn nhân sử dụng đã bị nhắm mục tiêu và xâm nhập một cách có chọn lọc để cài đặt một loại phần mềm độc hại nào đó trên các thiết bị đầu cuối, hoặc bộ định tuyến hoặc tường lửa mà các nạn nhân sử dụng đã bị tấn công với mục đích này.

Yêu cầu HTTP để lấy mã shellcode giai đoạn hai cũng chứa số phiên bản Windows hiện tại. Đây có thể là một nỗ lực của kẻ tấn công nhằm nhắm mục tiêu vào các phiên bản hệ điều hành cụ thể và điều chỉnh chiến lược của chúng dựa trên hệ điều hành được sử dụng. Điều đáng chú ý là Evasive Panda trước đây đã sử dụng các cuộc tấn công "watering hole" để phát tán phần mềm độc hại dành cho Apple macOS có tên mã là MACMA.

Bản chất chính xác của phần mềm độc hại giai đoạn hai vẫn chưa rõ ràng, nhưng phân tích của Kaspersky cho thấy mã shellcode giai đoạn đầu tiên giải mã và chạy payload đã thu được. Người ta đánh giá rằng những kẻ tấn công tạo ra một tệp shellcode thứ hai được mã hóa duy nhất cho mỗi nạn nhân như một cách để vượt qua sự phát hiện.

Một khía cạnh quan trọng của hoạt động này là việc sử dụng trình tải phụ ("libpython2.4.dll") dựa vào một phiên bản cũ hơn, đã được đổi tên của "python.exe" để được tải thủ công. Sau khi khởi chạy, nó sẽ tải xuống và giải mã phần mềm độc hại giai đoạn tiếp theo bằng cách đọc nội dung của một tệp có tên "C:\ProgramData\Microsoft\eHome\perf.dat." Tệp này chứa phần mềm độc hại đã được giải mã được tải xuống từ bước trước đó.

Kaspersky cho biết: "Có vẻ như kẻ tấn công đã sử dụng một quy trình phức tạp để lấy được giai đoạn này từ một nguồn tài nguyên, nơi nó ban đầu được mã hóa bằng XOR. Sau đó, kẻ tấn công đã giải mã giai đoạn này bằng XOR và tiếp tục mã hóa rồi lưu nó vào tệp perf.dat bằng cách sử dụng một thuật toán kết hợp tùy chỉnh giữa Giao diện lập trình ứng dụng bảo vệ dữ liệu (DPAPI) của Microsoft và thuật toán RC5."

Việc sử dụng thuật toán mã hóa tùy chỉnh được xem là một nỗ lực nhằm làm phức tạp quá trình phân tích bằng cách đảm bảo rằng dữ liệu được mã hóa chỉ có thể được giải mã trên hệ thống cụ thể nơi quá trình mã hóa ban đầu được thực hiện và ngăn chặn mọi nỗ lực chặn bắt và phân tích phần mềm độc hại.

Mã được giải mã là một biến thể của MgBot được trình tải phụ tiêm vào tiến trình "svchost.exe" hợp pháp. MgBot, một phần mềm cấy ghép dạng mô-đun, có khả năng thu thập tập tin, ghi lại thao tác gõ phím, thu thập dữ liệu clipboard, ghi lại luồng âm thanh và đánh cắp thông tin đăng nhập từ trình duyệt web. Điều này cho phép phần mềm độc hại duy trì sự hiện diện lén lút trong các hệ thống bị xâm nhập trong thời gian dài.

Kaspersky cho biết: "Tác nhân tấn công Evasive Panda một lần nữa đã thể hiện khả năng tiên tiến của mình, né tránh các biện pháp bảo mật bằng các kỹ thuật và công cụ mới trong khi vẫn duy trì sự hiện diện lâu dài trên các hệ thống mục tiêu."