VietNetwork.Vn

Người dùng nói tiếng Trung là mục tiêu của một chiến dịch "tấn công tinh vi và có tổ chức chặt chẽ" có khả năng sử dụng email lừa đảo để lây nhiễm phần mềm Cobalt Strike vào hệ thống Windows.

Các nhà nghiên cứu Den Iuzvyk và Tim Peck của Securonix cho biết trong một báo cáo mới: "Những kẻ tấn công đã di chuyển theo chiều ngang, duy trì hoạt động và không bị phát hiện trong hệ thống trong hơn hai tuần".


Chiến dịch bí mật có tên mã là SLOW#TEMPEST và không được xác định là do bất kỳ tác nhân đe dọa nào gây ra, bắt đầu bằng các tệp ZIP độc hại, khi giải nén sẽ kích hoạt chuỗi lây nhiễm, dẫn đến việc triển khai bộ công cụ khai thác sau trên các hệ thống bị xâm phạm.

Hiện diện trong kho lưu trữ ZIP là tệp lối tắt Windows (LNK) ngụy trang dưới dạng tệp Microsoft Word, "违规远程控制软件人员名单.docx.lnk," tạm dịch là "Danh sách những người đã vi phạm các quy định về phần mềm điều khiển từ xa"."

Các nhà nghiên cứu chỉ ra rằng: "Với ngôn ngữ được sử dụng trong các tệp tin mồi nhử, có khả năng các doanh nghiệp hoặc cơ quan chính phủ cụ thể của Trung Quốc có thể là mục tiêu vì cả hai đều tuyển dụng những cá nhân tuân thủ 'quy định về phần mềm điều khiển từ xa'".

Tệp LNK hoạt động như một đường dẫn để khởi chạy tệp nhị phân Microsoft hợp lệ ("LicensingUI.exe") sử dụng tải phụ DLL để thực thi DLL giả mạo ("dui70.dll"). Cả hai tệp đều là một phần của kho lưu trữ ZIP trong thư mục có tên "其他信息.__MACOS__._MACOS___MACOSX_MACOS_." Cuộc tấn công này đánh dấu lần đầu tiên tải phụ DLL thông qua LicensingUI.exe được báo cáo.

Tệp DLL là phần mềm cấy ghép Cobalt Strike cho phép truy cập liên tục và bí mật vào máy chủ bị nhiễm, đồng thời thiết lập kết nối với máy chủ từ xa ("123.207.74[.]22").

Quyền truy cập từ xa được cho là đã cho phép những kẻ tấn công thực hiện một loạt các hoạt động thực tế, bao gồm triển khai các tải trọng bổ sung để do thám và thiết lập các kết nối proxy.

Chuỗi lây nhiễm cũng đáng chú ý vì thiết lập một tác vụ theo lịch trình để định kỳ thực thi một tệp thực thi độc hại có tên là "lld.exe" có thể chạy shellcode tùy ý trực tiếp trong bộ nhớ, do đó để lại dấu vết tối thiểu trên đĩa.


Các nhà nghiên cứu cho biết: "Những kẻ tấn công còn có thể ẩn náu trong các hệ thống bị xâm phạm bằng cách nâng cao quyền hạn của tài khoản người dùng Khách tích hợp sẵn".

"Tài khoản này, thường bị vô hiệu hóa và có ít đặc quyền, đã được chuyển đổi thành một điểm truy cập mạnh mẽ bằng cách thêm nó vào nhóm quản trị quan trọng và gán cho nó một mật khẩu mới. Cửa hậu này cho phép họ duy trì quyền truy cập vào hệ thống với khả năng phát hiện tối thiểu, vì tài khoản Khách thường không được giám sát chặt chẽ như các tài khoản người dùng khác."

Sau đó, kẻ tấn công không rõ danh tính đã di chuyển ngang qua mạng bằng Giao thức máy tính từ xa ( RDP ) và thông tin đăng nhập thu được thông qua công cụ trích xuất mật khẩu Mimikatz, sau đó thiết lập kết nối từ xa trở lại máy chủ chỉ huy và kiểm soát (C2) của chúng từ mỗi máy đó.

Giai đoạn hậu khai thác được đặc trưng thêm bằng việc thực hiện một số lệnh liệt kê và sử dụng công cụ BloodHound để do thám thư mục hoạt động (AD), sau đó kết quả được trích xuất dưới dạng tệp lưu trữ ZIP.

Mối liên hệ với Trung Quốc được củng cố bởi thực tế là tất cả các máy chủ C2 đều được lưu trữ tại Trung Quốc bởi Shenzhen Tencent Computer Systems Company Limited. Trên hết, phần lớn các hiện vật liên quan đến chiến dịch này đều có nguồn gốc từ Trung Quốc.

Các nhà nghiên cứu kết luận: "Mặc dù không có bằng chứng chắc chắn nào cho thấy cuộc tấn công này liên quan đến bất kỳ nhóm APT nào đã biết, nhưng có khả năng nó được dàn dựng bởi một tác nhân đe dọa dày dạn kinh nghiệm, có kinh nghiệm sử dụng các khuôn khổ khai thác tiên tiến như Cobalt Strike và nhiều công cụ khai thác sau khác".

"Sự phức tạp của chiến dịch thể hiện rõ ở cách tiếp cận có phương pháp đối với sự thỏa hiệp ban đầu, sự kiên trì, sự leo thang đặc quyền và sự di chuyển ngang hàng trên toàn mạng lưới."