MinhSec
Writer
Một chiến dịch gián điệp mạng tinh vi nhắm vào các tổ chức quân sự tại Đông Nam Á vừa được các chuyên gia an ninh mạng phát hiện. Hoạt động này được cho là đã âm thầm diễn ra trong nhiều năm, với dấu hiệu cho thấy có sự hậu thuẫn từ một tác nhân cấp quốc gia, dù danh tính cụ thể chưa được xác nhận.
Theo báo cáo của nhóm nghiên cứu Unit 42 thuộc công ty an ninh mạng Palo Alto Networks, chiến dịch được theo dõi với mã CL-STA-1087. Dấu vết đầu tiên được phát hiện khi nền tảng bảo mật Cortex XDR ghi nhận những hoạt động PowerShell bất thường trong hệ thống của một tổ chức bị tấn công.
Sau quá trình điều tra, các nhà nghiên cứu cho biết hoạt động này có thể đã bắt đầu từ ít nhất năm 2020. Mặc dù chưa rõ tin tặc xâm nhập ban đầu bằng cách nào, họ đã phát hiện nhiều công cụ độc hại tùy chỉnh, bao gồm phần mềm cửa hậu mới và một công cụ đánh cắp thông tin đăng nhập có tên Getpass.
Trong quá trình phân tích, các nhà nghiên cứu phát hiện hai loại phần mềm cửa hậu chưa từng được ghi nhận trước đây, được đặt tên là AppleChris và MemFun. Cả hai đều sử dụng kỹ thuật Dead Drop Resolver (DDR), cho phép tin tặc giấu thông tin máy chủ điều khiển bên trong các trang web hợp pháp.
Trong chiến dịch này, các tác nhân tấn công đã tận dụng những dịch vụ phổ biến như Pastebin và Dropbox để duy trì liên lạc với hệ thống điều khiển. Các địa chỉ máy chủ điều khiển và kiểm soát được mã hóa và chỉ có thể truy cập thông qua quy trình giải mã nhiều bước.
Ngoài ra, phần mềm độc hại còn sử dụng nhiều kỹ thuật né tránh nhằm tránh bị phát hiện, bao gồm trì hoãn thực thi để vượt qua các môi trường kiểm tra bảo mật và kỹ thuật “timestomping”, trong đó thời gian của tệp tin trong hệ điều hành được thay đổi để che giấu dấu vết hoạt động.
Một điểm đáng chú ý khác là việc ngày càng nhiều nhóm tấn công mạng sử dụng các dịch vụ trực tuyến hợp pháp để che giấu hoạt động của mình. Những nền tảng lưu trữ nội dung và điện toán đám mây thường hòa lẫn với lưu lượng internet bình thường, khiến việc phát hiện trở nên khó khăn hơn đối với các hệ thống bảo mật.
Trước xu hướng này, các chuyên gia khuyến nghị các tổ chức cần kiểm soát chặt chẽ việc truy cập các dịch vụ trực tuyến như Pastebin hoặc Dropbox. Nếu những nền tảng này không nằm trong danh sách được phê duyệt, việc hạn chế hoặc giám sát lưu lượng truy cập có thể giúp giảm đáng kể nguy cơ bị tấn công.
Báo cáo cũng đã công bố nhiều chỉ báo xâm nhập, bao gồm các mã băm của phần mềm độc hại và địa chỉ máy chủ điều khiển, nhằm giúp các tổ chức nhận diện và ngăn chặn các hoạt động tương tự trong tương lai.
Theo báo cáo của nhóm nghiên cứu Unit 42 thuộc công ty an ninh mạng Palo Alto Networks, chiến dịch được theo dõi với mã CL-STA-1087. Dấu vết đầu tiên được phát hiện khi nền tảng bảo mật Cortex XDR ghi nhận những hoạt động PowerShell bất thường trong hệ thống của một tổ chức bị tấn công.
Sau quá trình điều tra, các nhà nghiên cứu cho biết hoạt động này có thể đã bắt đầu từ ít nhất năm 2020. Mặc dù chưa rõ tin tặc xâm nhập ban đầu bằng cách nào, họ đã phát hiện nhiều công cụ độc hại tùy chỉnh, bao gồm phần mềm cửa hậu mới và một công cụ đánh cắp thông tin đăng nhập có tên Getpass.
Chiến dịch gián điệp mạng âm thầm kéo dài nhiều năm
Theo các chuyên gia, mục tiêu của chiến dịch không phải là đánh cắp dữ liệu hàng loạt mà là thu thập những thông tin có giá trị chiến lược. Các tài liệu bị nhắm đến liên quan đến năng lực quân sự, cơ cấu tổ chức và các chương trình hợp tác quốc phòng.Trong quá trình phân tích, các nhà nghiên cứu phát hiện hai loại phần mềm cửa hậu chưa từng được ghi nhận trước đây, được đặt tên là AppleChris và MemFun. Cả hai đều sử dụng kỹ thuật Dead Drop Resolver (DDR), cho phép tin tặc giấu thông tin máy chủ điều khiển bên trong các trang web hợp pháp.
Trong chiến dịch này, các tác nhân tấn công đã tận dụng những dịch vụ phổ biến như Pastebin và Dropbox để duy trì liên lạc với hệ thống điều khiển. Các địa chỉ máy chủ điều khiển và kiểm soát được mã hóa và chỉ có thể truy cập thông qua quy trình giải mã nhiều bước.
Ngoài ra, phần mềm độc hại còn sử dụng nhiều kỹ thuật né tránh nhằm tránh bị phát hiện, bao gồm trì hoãn thực thi để vượt qua các môi trường kiểm tra bảo mật và kỹ thuật “timestomping”, trong đó thời gian của tệp tin trong hệ điều hành được thay đổi để che giấu dấu vết hoạt động.
Xu hướng lợi dụng dịch vụ đám mây để che giấu hoạt động tấn công
Các chuyên gia cho rằng những kẻ đứng sau chiến dịch này thể hiện mức độ kiên nhẫn và kỷ luật rất cao. Chúng có thể duy trì quyền truy cập trong hệ thống của nạn nhân suốt nhiều tháng mà không bị phát hiện, tạm dừng hoạt động khi cần thiết rồi tiếp tục thu thập thông tin trong thời gian dài.Một điểm đáng chú ý khác là việc ngày càng nhiều nhóm tấn công mạng sử dụng các dịch vụ trực tuyến hợp pháp để che giấu hoạt động của mình. Những nền tảng lưu trữ nội dung và điện toán đám mây thường hòa lẫn với lưu lượng internet bình thường, khiến việc phát hiện trở nên khó khăn hơn đối với các hệ thống bảo mật.
Trước xu hướng này, các chuyên gia khuyến nghị các tổ chức cần kiểm soát chặt chẽ việc truy cập các dịch vụ trực tuyến như Pastebin hoặc Dropbox. Nếu những nền tảng này không nằm trong danh sách được phê duyệt, việc hạn chế hoặc giám sát lưu lượng truy cập có thể giúp giảm đáng kể nguy cơ bị tấn công.
Báo cáo cũng đã công bố nhiều chỉ báo xâm nhập, bao gồm các mã băm của phần mềm độc hại và địa chỉ máy chủ điều khiển, nhằm giúp các tổ chức nhận diện và ngăn chặn các hoạt động tương tự trong tương lai.
Nguồn: darkreading
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
Sửa lần cuối bởi điều hành viên: