VietNetwork.Vn

Nhóm tin tặc quốc gia Trung Quốc có tên APT41 (hay còn gọi là Brass Typhoon, Earth Baku, Wicked Panda hoặc Winnti) đã bị cáo buộc thực hiện một cuộc tấn công mạng tinh vi nhắm vào ngành công nghiệp cờ bạc và trò chơi điện tử.

Ido Naor, đồng sáng lập kiêm giám đốc điều hành của công ty an ninh mạng Security Joes của Israel, cho biết trong một tuyên bố chia sẻ với The Hacker News: "Trong khoảng thời gian ít nhất sáu tháng, những kẻ tấn công đã âm thầm thu thập thông tin có giá trị từ công ty mục tiêu bao gồm nhưng không giới hạn ở cấu hình mạng, mật khẩu người dùng và bí mật từ quy trình LSASS".


"Trong quá trình xâm nhập, những kẻ tấn công liên tục cập nhật bộ công cụ của chúng dựa trên phản ứng của nhóm bảo mật. Bằng cách quan sát hành động của nhóm bảo vệ, chúng đã thay đổi chiến lược và công cụ của mình để vượt qua sự phát hiện và duy trì quyền truy cập liên tục vào mạng bị xâm phạm."

Cuộc tấn công nhiều giai đoạn, nhắm vào một trong những khách hàng của công ty và kéo dài gần chín tháng trong năm nay, có sự trùng lặp với một vụ xâm nhập được nhà cung cấp an ninh mạng Sophos theo dõi dưới biệt danh Chiến dịch Crimson Palace.

Naor cho biết công ty đã phản hồi sự cố này cách đây bốn tháng và nói thêm "những cuộc tấn công này phụ thuộc vào những người ra quyết định do nhà nước bảo trợ. Lần này chúng tôi nghi ngờ chắc chắn rằng APT41 muốn trục lợi tài chính".

Chiến dịch này được thiết kế theo hướng ẩn núp, tận dụng một loạt các chiến thuật để đạt được mục tiêu bằng cách sử dụng một bộ công cụ tùy chỉnh không chỉ vượt qua phần mềm bảo mật được cài đặt trong môi trường mà còn thu thập thông tin quan trọng và thiết lập các kênh bí mật để truy cập từ xa liên tục.

Security Joes mô tả APT41 là "nhóm có tay nghề cao và có phương pháp", chỉ ra khả năng thực hiện các cuộc tấn công gián điệp cũng như đầu độc chuỗi cung ứng, từ đó dẫn đến hành vi trộm cắp tài sản trí tuệ và các cuộc xâm nhập có động cơ tài chính như phần mềm tống tiền và khai thác tiền điện tử.

Hiện vẫn chưa rõ phương thức truy cập ban đầu chính xác được sử dụng trong cuộc tấn công, nhưng có bằng chứng cho thấy đó là email lừa đảo, do không có lỗ hổng bảo mật nào trong các ứng dụng web kết nối internet hoặc không có sự xâm phạm chuỗi cung ứng.

"Một khi đã vào được bên trong cơ sở hạ tầng mục tiêu, những kẻ tấn công đã thực hiện một cuộc tấn công DCSync, nhằm mục đích thu thập các băm mật khẩu của tài khoản dịch vụ và quản trị viên để mở rộng quyền truy cập của chúng", công ty cho biết trong báo cáo của mình. "Với những thông tin xác thực này, chúng đã thiết lập được sự bền bỉ và duy trì quyền kiểm soát mạng, đặc biệt tập trung vào các tài khoản quản trị viên và nhà phát triển".

Những kẻ tấn công được cho là đã tiến hành các hoạt động trinh sát và khai thác sau một cách có phương pháp, thường điều chỉnh bộ công cụ của mình để ứng phó với các bước được thực hiện nhằm chống lại mối đe dọa và nâng cao đặc quyền với mục tiêu cuối cùng là tải xuống và thực hiện các tải trọng bổ sung.

Một số kỹ thuật được sử dụng để thực hiện mục tiêu của chúng bao gồm Phantom DLL Hijacking và sử dụng tiện ích wmic.exe hợp pháp, chưa kể đến việc lạm dụng quyền truy cập vào tài khoản dịch vụ có quyền quản trị viên để kích hoạt lệnh thực thi.


Giai đoạn tiếp theo là tệp DLL độc hại có tên TSVIPSrv.dll được truy xuất qua giao thức SMB, sau đó phần mềm độc hại sẽ thiết lập kết nối với máy chủ chỉ huy và điều khiển (C2) được mã hóa cứng.

"Nếu C2 được mã hóa cứng bị lỗi, phần mềm cấy ghép sẽ cố gắng cập nhật thông tin C2 bằng cách thu thập thông tin từ người dùng GitHub bằng URL sau: github[.]com/search?o=desc&q=pointers&s=joined&type=Users&."

"Phần mềm độc hại phân tích cú pháp HTML trả về từ truy vấn GitHub, tìm kiếm các chuỗi từ viết hoa chỉ được phân tách bằng dấu cách. Nó thu thập tám từ trong số đó, sau đó chỉ trích xuất các chữ cái viết hoa giữa A và P. Quá trình này tạo ra một chuỗi 8 ký tự, mã hóa địa chỉ IP của máy chủ C2 mới sẽ được sử dụng trong cuộc tấn công."

Tiếp xúc ban đầu với máy chủ C2 mở đường cho việc lập hồ sơ hệ thống bị nhiễm và tìm thêm phần mềm độc hại để thực thi thông qua kết nối ổ cắm.

Security Joes cho biết những kẻ tấn công đã im lặng trong vài tuần sau khi hoạt động của chúng bị phát hiện, nhưng cuối cùng đã quay trở lại với cách tiếp cận mới để thực thi mã JavaScript được che giấu kỹ lưỡng trong phiên bản đã sửa đổi của tệp XSL ("texttable.xsl") bằng cách sử dụng LOLBIN wmic.exe.

Các nhà nghiên cứu giải thích: "Khi lệnh WMIC.exe MEMORYCHIP GET được khởi chạy, nó sẽ gián tiếp tải tệp texttable.xsl để định dạng đầu ra, buộc thực thi mã JavaScript độc hại do kẻ tấn công đưa vào".

Về phần mình, JavaScript đóng vai trò là trình tải xuống sử dụng tên miền time.qnapntp[.]com làm máy chủ C2 để truy xuất dữ liệu tiếp theo để lấy dấu vân tay của máy và gửi thông tin trở lại máy chủ, tuân theo một số tiêu chí lọc nhất định có khả năng chỉ nhắm mục tiêu vào những máy mà kẻ tấn công quan tâm.

Các nhà nghiên cứu cho biết: "Điều thực sự nổi bật trong mã này là việc nhắm mục tiêu có chủ đích vào các máy có địa chỉ IP chứa chuỗi con '10.20.22'".

"Điều này làm nổi bật những thiết bị cụ thể nào có giá trị đối với kẻ tấn công, cụ thể là những thiết bị trong các mạng con 10.20.22[0-9].[0-255]. Bằng cách đối chiếu thông tin này với nhật ký mạng và địa chỉ IP của các thiết bị tìm thấy tệp, chúng tôi kết luận rằng kẻ tấn công đã sử dụng cơ chế lọc này để đảm bảo chỉ những thiết bị trong mạng con VPN mới bị ảnh hưởng."