VietNetwork.Vn

Một nhóm tin tặc chuyên tấn công dai dẳng (APT) bị nghi ngờ có liên hệ với Ấn Độ đã thực hiện hàng loạt cuộc tấn công nhằm vào các thực thể cấp cao và cơ sở hạ tầng chiến lược ở Trung Đông và Châu Phi.

Hoạt động này được cho là do một nhóm được theo dõi với tên gọi SideWinder, còn được gọi là APT-C-17, Baby Elephant, Hardcore Nationalist, Leafperforator, Rattlesnake, Razor Tiger và T-APT-04 thực hiện.


Các nhà nghiên cứu Giampaolo Dedola và Vasily Berdnikov của Kaspersky cho biết: "Nhóm này có thể bị coi là tác nhân có trình độ thấp do sử dụng các lỗ hổng công khai, các tệp LNK và tập lệnh độc hại làm phương tiện lây nhiễm cũng như sử dụng RAT công khai, nhưng khả năng thực sự của chúng chỉ lộ rõ khi bạn xem xét kỹ lưỡng các chi tiết về hoạt động của chúng ".

Mục tiêu của các cuộc tấn công bao gồm các tổ chức chính phủ và quân đội, các công ty hậu cần, cơ sở hạ tầng và viễn thông, các tổ chức tài chính, trường đại học và các công ty kinh doanh dầu mỏ có trụ sở tại Bangladesh, Djibouti, Jordan, Malaysia, Maldives, Myanmar, Nepal, Pakistan, Ả Rập Xê Út, Sri Lanka, Thổ Nhĩ Kỳ và UAE

SideWinder cũng được phát hiện đang nhắm mục tiêu vào các tổ chức ngoại giao ở Afghanistan, Pháp, Trung Quốc, Ấn Độ, Indonesia và Morocco.

Điểm quan trọng nhất của chiến dịch gần đây là việc sử dụng chuỗi lây nhiễm nhiều giai đoạn để phát tán bộ công cụ khai thác sau khi phát hiện chưa từng được biết đến trước đây có tên là StealerBot.

Mọi chuyện bắt đầu bằng một email lừa đảo có đính kèm tệp tin – có thể là tệp ZIP chứa tệp phím tắt Windows (LNK) hoặc tài liệu Microsoft Office – sau đó thực thi một loạt trình tải xuống JavaScript và .NET trung gian để cuối cùng triển khai phần mềm độc hại StealerBot.

Các tài liệu dựa trên kỹ thuật đã được thử nghiệm và kiểm tra là tiêm mẫu từ xa để tải xuống tệp RTF được lưu trữ trên máy chủ từ xa do đối thủ kiểm soát. Về phần mình, tệp RTF kích hoạt một khai thác cho CVE-2017-11882 để thực thi mã JavaScript chịu trách nhiệm chạy mã JavaScript bổ sung được lưu trữ trên mofa-gov-sa.direct888[.]net.

Mặt khác, tệp LNK sử dụng tiện ích mshta.exe, một tệp nhị phân gốc của Windows được thiết kế để thực thi các tệp Ứng dụng HTML của Microsoft (HTA), nhằm chạy cùng một mã JavaScript được lưu trữ trên một trang web độc hại do kẻ tấn công kiểm soát.

Phần mềm độc hại JavaScript có chức năng trích xuất một chuỗi được mã hóa Base64 nhúng, một thư viện .NET có tên "App.dll" thu thập thông tin hệ thống và hoạt động như một trình tải xuống cho tải trọng .NET thứ hai từ máy chủ ("ModuleInstaller.dll").

ModuleInstaller cũng là một trình tải xuống, nhưng được trang bị để duy trì tính bền bỉ trên máy chủ, thực thi mô-đun trình tải cửa sau và truy xuất các thành phần giai đoạn tiếp theo. Nhưng theo một cách thú vị, cách thức chúng được chạy được xác định bởi giải pháp bảo mật điểm cuối nào được cài đặt trên máy chủ.

"Mô-đun tải Bbckdoor đã được quan sát từ năm 2020", các nhà nghiên cứu cho biết, chỉ ra khả năng tránh bị phát hiện và tránh chạy trong môi trường hộp cát. "Nó vẫn gần như không thay đổi trong nhiều năm".


"Kẻ tấn công đã cập nhật phiên bản mới này gần đây, nhưng điểm khác biệt chính là các biến thể cũ được cấu hình để tải tệp được mã hóa bằng tên tệp cụ thể được nhúng trong chương trình, còn các biến thể mới nhất được thiết kế để liệt kê tất cả các tệp trong thư mục hiện tại và tải những tệp không có phần mở rộng."

Mục tiêu cuối cùng của các cuộc tấn công là thả StealerBot thông qua mô-đun tải Backdoor. Được mô tả là "cấy ghép mô-đun nâng cao" dựa trên .NET, nó được thiết kế đặc biệt để tạo điều kiện cho các hoạt động gián điệp bằng cách lấy một số plugin để -

• Cài đặt phần mềm độc hại bổ sung bằng trình tải xuống C++
• Chụp ảnh màn hình
• Nhật ký các lần nhấn phím
• Đánh cắp mật khẩu từ trình duyệt
• Chặn thông tin xác thực RDP
• Ăn cắp tập tin
• Bắt đầu đảo ngược vỏ
• Lừa đảo thông tin đăng nhập Windows và
• Tăng cường đặc quyền bỏ qua Kiểm soát tài khoản người dùng (UAC)

"Cấy ghép bao gồm các mô-đun khác nhau được tải bởi 'Orchestrator' chính, chịu trách nhiệm giao tiếp với [command-and-control] và thực hiện và quản lý các plugin", các nhà nghiên cứu cho biết. "Orchestator thường được tải bởi mô-đun tải cửa sau".

Kaspersky cho biết họ đã phát hiện ra hai thành phần cài đặt có tên là InstallerPayload và InstallerPayload_NET không phải là một phần của chuỗi tấn công nhưng được sử dụng để cài đặt StealerBot nhằm mục đích cập nhật lên phiên bản mới hoặc lây nhiễm cho người dùng khác.

Việc mở rộng phạm vi địa lý của SideWinder và sử dụng bộ công cụ tinh vi mới diễn ra trong bối cảnh công ty an ninh mạng Cyfirma trình bày chi tiết về cơ sở hạ tầng mới chạy nền tảng hậu khai thác Mythic và có liên quan đến Transparent Tribe (hay còn gọi là APT36), một tác nhân đe dọa được cho là có nguồn gốc từ Pakistan.

"Nhóm này đang phân phối các tệp nhập Linux độc hại được ngụy trang dưới dạng PDF", báo cáo cho biết. "Những tệp này thực thi các tập lệnh để tải xuống và chạy các tệp nhị phân độc hại từ các máy chủ từ xa, thiết lập quyền truy cập liên tục và tránh bị phát hiện".

"APT36 ngày càng nhắm mục tiêu vào môi trường Linux do chúng được sử dụng rộng rãi trong các lĩnh vực chính phủ Ấn Độ, đặc biệt là với hệ điều hành BOSS dựa trên Debian và sự ra đời của hệ điều hành Maya."