VietNetwork.Vn

Một mối đe dọa dai dẳng nâng cao (APT) có tên gọi WIRTE được cho là thủ phạm của các cuộc tấn công nhắm vào các cơ quan chính phủ và ngoại giao trên khắp Trung Đông bằng một bộ phần mềm độc hại chưa từng được ghi nhận trước đây có tên là AshTag kể từ năm 2020.

Đội ngũ chuyên gia của Palo Alto Networks, đơn vị 42, đang theo dõi cụm hoạt động có tên Ashen Lepus. Các bằng chứng được tải lên nền tảng VirusTotal cho thấy kẻ tấn công đã nhắm mục tiêu vào Oman và Morocco, cho thấy sự mở rộng phạm vi hoạt động ra ngoài Chính quyền Palestine, Jordan, Iraq, Ả Rập Xê Út và Ai Cập.


Công ty này nói với The Hacker News rằng họ đã quan sát thấy "hàng loạt các chiêu trò lừa đảo độc đáo" được phát tán khắp Trung Đông, cho thấy một "chiến dịch dai dẳng và quy mô lớn" nhắm vào các cơ quan chính phủ và ngoại giao trong khu vực. Ước tính có hơn chục thực thể đã bị nhắm mục tiêu, mặc dù người ta nghi ngờ con số thực tế có thể cao hơn.

"Ashen Lepus vẫn duy trì hoạt động liên tục trong suốt cuộc xung đột Israel-Hamas, điều này khiến nó khác biệt so với các nhóm liên kết khác có hoạt động giảm dần trong cùng thời kỳ", công ty an ninh mạng cho biết trong một báo cáo được chia sẻ với The Hacker News. "Ashen Lepus tiếp tục chiến dịch của mình ngay cả sau thỏa thuận ngừng bắn ở Gaza vào tháng 10 năm 2025, triển khai các biến thể phần mềm độc hại mới được phát triển và tham gia vào các hoạt động trực tiếp trong môi trường của nạn nhân."

WIRTE, một nhóm có sự chồng chéo với một nhóm tin tặc nói tiếng Ả Rập, có động cơ chính trị được gọi là Gaza Cyber Gang (còn gọi là Blackstem, Extreme Jackal, Molerats, hoặc TA402), được đánh giá là đã hoạt động ít nhất từ năm 2018. Theo một báo cáo từ Cybereason, cả Molerats và APT-C-23 (còn gọi là Arid Viper, Desert Varnish, hoặc Renegade Jackal) đều là hai nhóm nhỏ chính của bộ phận chiến tranh mạng của Hamas.

Hoạt động này chủ yếu dựa vào hoạt động gián điệp và thu thập thông tin tình báo, nhắm vào các thực thể chính phủ ở Trung Đông để đạt được các mục tiêu chiến lược của mình.

"Cụ thể, mối liên hệ giữa WIRTE (Ashen Lepus) và băng đảng Gaza Cyber Gang rộng lớn hơn chủ yếu được chứng minh bằng sự trùng lặp và tương đồng về mã nguồn," các nhà nghiên cứu của Unit 42 cho biết. "Điều này cho thấy rằng mặc dù chúng hoạt động độc lập, nhưng các công cụ được phát triển bởi các thực thể có liên hệ mật thiết và có khả năng chúng chia sẻ nguồn lực phát triển. Chúng tôi cũng đã thấy sự trùng lặp trong nạn nhân của các nhóm khác."

Trong một báo cáo được công bố vào tháng 11 năm 2024, Check Point cho rằng nhóm tin tặc này đã thực hiện các cuộc tấn công phá hoại nhắm mục tiêu riêng vào các thực thể của Israel để lây nhiễm cho chúng một loại phần mềm độc hại xóa dữ liệu tùy chỉnh có tên là SameCoin, cho thấy khả năng thích ứng và thực hiện cả hoạt động gián điệp lẫn phá hoại của chúng.

Chiến dịch kéo dài và khó nắm bắt được Unit 42 mô tả chi tiết, bắt nguồn từ năm 2018, được phát hiện sử dụng email lừa đảo với các nội dung liên quan đến các vấn đề địa chính trị trong khu vực. Sự gia tăng gần đây các email lừa đảo liên quan đến Thổ Nhĩ Kỳ – ví dụ như "Thỏa thuận hợp tác giữa Maroc và Thổ Nhĩ Kỳ" hoặc "Dự thảo nghị quyết liên quan đến Nhà nước Palestine" – cho thấy các thực thể trong nước có thể là mục tiêu mới của tin tặc.


Chuỗi tấn công bắt đầu bằng một tệp PDF giả mạo vô hại, đánh lừa người nhận tải xuống tệp lưu trữ RAR từ dịch vụ chia sẻ tệp. Việc mở tệp lưu trữ sẽ kích hoạt một chuỗi sự kiện dẫn đến việc triển khai AshTag.

Phương pháp này sử dụng một tệp nhị phân lành tính đã được đổi tên để tải thêm một DLL độc hại có tên AshenLoader. Ngoài việc mở một tệp PDF giả mạo để duy trì chiêu trò, DLL này còn liên hệ với một máy chủ bên ngoài để tải thêm hai thành phần khác: một tệp thực thi hợp pháp và một DLL chứa thông tin độc hại có tên AshenStager (hay còn gọi là stagerx64), DLL này cũng được tải thêm để khởi chạy bộ phần mềm độc hại trong bộ nhớ nhằm giảm thiểu dấu vết điều tra.

AshTag là một phần mềm cửa hậu .NET dạng mô-đun được thiết kế để duy trì hoạt động và thực thi lệnh từ xa, đồng thời ngụy trang thành một tiện ích VisualServer hợp pháp để hoạt động mà không bị phát hiện. Bên trong, các tính năng của nó được hiện thực hóa thông qua AshenOrchestrator để cho phép giao tiếp và chạy các payload bổ sung trong bộ nhớ.

Các tải trọng này phục vụ các mục đích khác nhau:

    Quản lý quy trình và tính bền vững
    Cập nhật và gỡ bỏ
    Chụp màn hình
    Trình quản lý và điều khiển tập tin
    Nhận dạng dấu vân tay hệ thống

Trong một trường hợp, Unit 42 cho biết họ đã quan sát thấy kẻ tấn công truy cập vào một máy tính bị xâm nhập để thực hiện hành vi đánh cắp dữ liệu trực tiếp bằng cách sắp xếp các tài liệu quan trọng trong thư mục C:\Users\Public. Các tệp này được cho là đã được tải xuống từ hộp thư email của nạn nhân, với mục đích cuối cùng là đánh cắp các tài liệu liên quan đến ngoại giao. Sau đó, các tài liệu này đã được chuyển đến máy chủ do kẻ tấn công kiểm soát bằng tiện ích Rclone.

Theo đánh giá, hành vi đánh cắp dữ liệu có khả năng đã xảy ra trên diện rộng đối với các nạn nhân, đặc biệt là trong các môi trường thiếu khả năng phát hiện tiên tiến.

"Ashen Lepus vẫn là một tác nhân gián điệp dai dẳng, thể hiện rõ ý định tiếp tục các hoạt động của mình trong suốt cuộc xung đột khu vực gần đây - không giống như các nhóm đe dọa liên kết khác, hoạt động của chúng đã giảm đáng kể," công ty kết luận. "Các hoạt động của các tác nhân đe dọa trong hai năm qua đặc biệt nhấn mạnh cam kết của chúng đối với việc thu thập thông tin tình báo liên tục."