VietNetwork.Vn

Các tổ chức chính phủ giấu tên ở Trung Đông và Malaysia là mục tiêu của một chiến dịch mạng liên tục do một tác nhân đe dọa có tên là Tropic Trooper dàn dựng kể từ tháng 6 năm 2023.

Nhà nghiên cứu bảo mật của Kaspersky, Sherif Magdy cho biết : "Việc phát hiện [Chiến thuật, Kỹ thuật và Thủ tục] của nhóm này trong các thực thể chính phủ quan trọng ở Trung Đông, đặc biệt là những thực thể liên quan đến nghiên cứu nhân quyền, đánh dấu một động thái chiến lược mới của chúng".


Nhà cung cấp an ninh mạng của Nga cho biết họ phát hiện ra hoạt động này vào tháng 6 năm 2024 khi phát hiện ra phiên bản mới của China Chopper web Shell, một công cụ được nhiều tác nhân đe dọa nói tiếng Trung Quốc chia sẻ để truy cập từ xa vào các máy chủ bị xâm phạm, trên một máy chủ web công cộng lưu trữ hệ thống quản lý nội dung (CMS) nguồn mở có tên là Umbraco.

Chuỗi tấn công được thiết kế để phát tán phần mềm độc hại có tên là Crowdoor, một biến thể của cửa hậu SparrowDoor được ESET ghi nhận vào tháng 9 năm 2021. Những nỗ lực này cuối cùng đã không thành công.

Tropic Trooper, còn được gọi bằng tên APT23, Earth Centaur, KeyBoy và Pirate Panda, được biết đến với mục tiêu là chính phủ, y tế, giao thông vận tải và các ngành công nghiệp công nghệ cao ở Đài Loan, Hồng Kông và Philippines. Nhóm nói tiếng Trung này được đánh giá là hoạt động tích cực từ năm 2011, có mối quan hệ chặt chẽ với một nhóm xâm nhập khác được theo dõi là FamousSparrow.

Vụ xâm nhập mới nhất được Kaspersky nêu bật có ý nghĩa quan trọng trong việc biên dịch web shell China Chopper thành một   Đăng nhập để xem liên kết của Umbraco CMS, sau đó khai thác để triển khai các công cụ quét mạng, di chuyển ngang và né tránh phòng thủ trước khi khởi chạy Crowdoor bằng các kỹ thuật tải phụ DLL.


Người ta nghi ngờ rằng các web shell được phân phối bằng cách khai thác các lỗ hổng bảo mật đã biết trong các ứng dụng web có thể truy cập công khai, chẳng hạn như Adobe ColdFusion ( CVE-2023-26360 ) và Microsoft Exchange Server ( CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207 ).

Crowdoor, lần đầu tiên được phát hiện vào tháng 6 năm 2023, cũng hoạt động như một trình tải để thả Cobalt Strike và duy trì sự tồn tại trên các máy chủ bị nhiễm, đồng thời hoạt động như một cửa hậu để thu thập thông tin nhạy cảm, khởi chạy shell ngược, xóa các tệp phần mềm độc hại khác và tự kết thúc.

Magdy lưu ý: "Khi tin tặc nhận ra rằng cửa hậu của chúng đã bị phát hiện, chúng đã cố gắng tải lên các mẫu mới hơn để tránh bị phát hiện, do đó làm tăng nguy cơ bộ mẫu mới của chúng bị phát hiện trong tương lai gần".

"Ý nghĩa của vụ xâm nhập này nằm ở việc phát hiện một tác nhân nói tiếng Trung Quốc nhắm vào một nền tảng quản lý nội dung đã công bố các nghiên cứu về nhân quyền ở Trung Đông, đặc biệt tập trung vào tình hình xung quanh cuộc xung đột Israel-Hamas."

"Phân tích của chúng tôi về vụ xâm nhập này cho thấy toàn bộ hệ thống này là mục tiêu duy nhất trong cuộc tấn công, cho thấy mục tiêu này có chủ đích tập trung vào nội dung cụ thể này."