CyberThao
Writer
Các tổ chức chính phủ và viễn thông ở châu Phi, Trung Đông và châu Á đã bị nhắm mục tiêu trong khoảng hai năm rưỡi bởi một tác nhân mạng mới được đặt tên là Phantom Taurus, có liên hệ với Trung Quốc. Palo Alto Networks (Unit 42) cho biết nhóm này nhắm tới các bộ ngoại giao, đại sứ quán, các sự kiện địa chính trị và hoạt động quân sự với mục đích chính là thu thập tình báo. Hoạt động của Phantom Taurus thể hiện tính lén lút, kiên trì và khả năng nhanh chóng điều chỉnh chiến thuật, kỹ thuật và quy trình (TTP).
Nhóm từng được nêu tên lần đầu dưới biệt danh CL-STA-0043 vào tháng 6/2023 và sau đó gọi tạm là TGR-STA-0043 vào tháng 5 năm ngoái, trong khuôn khổ chiến dịch mang tên mã Diplomatic Spectre. Unit 42 cho biết theo dõi liên tục đã cho đủ bằng chứng để phân loại Phantom Taurus là một tác nhân đe dọa mới chuyên lấy dữ liệu mật và thu thập tình báo dài hạn liên quan tới lợi ích kinh tế và địa chính trị của Trung Quốc.
Phantom Taurus sử dụng cả kỹ thuật đã thấy trước đây và một số công cụ phát triển riêng hiếm gặp. Họ khai thác các lỗ hổng trên Microsoft IIS và Exchange — ví dụ như ProxyLogon và ProxyShell — để xâm nhập vào mạng mục tiêu, dù vectơ truy cập ban đầu không phải lúc nào cũng rõ ràng. Sau khi thâm nhập, nhóm chuyển từ thu thập email sang nhắm trực tiếp vào cơ sở dữ liệu bằng một tập lệnh hàng loạt: kết nối với SQL Server, xuất kết quả ra CSV và ngắt kết nối; tập lệnh này được thực thi thông qua Windows Management Instrumentation (WMI). Unit 42 cho biết phương pháp này được dùng để hệ thống tìm kiếm tài liệu liên quan đến các quốc gia như Afghanistan và Pakistan.
Đáng chú ý, Phantom Taurus phát triển bộ phần mềm độc hại mới tên NET-STAR, viết bằng .NET và nhắm vào máy chủ IIS. NET-STAR gồm ba cửa hậu web:
Unit 42 nhận định NET-STAR phản ánh kỹ thuật né tránh tiên tiến và hiểu biết sâu sắc về kiến trúc .NET, tạo mối đe dọa lớn đối với máy chủ kết nối Internet.
Mặc dù Phantom Taurus dùng một số cơ sở hạ tầng chung từng được các nhóm như AT27 (Iron Taurus), APT41 (Starchy/Winnti) và Mustang Panda (Stately Taurus) dùng trước đây, các thành phần hạ tầng mà nhóm này sử dụng lại khác biệt so với các chiến dịch trước — cho thấy có sự “phân chia hoạt động” trong hệ sinh thái đe dọa. Đơn vị 42 nhấn mạnh nhóm này hoạt động trùng thời điểm với các sự kiện toàn cầu lớn, tương tự nhiều nhóm tin tặc có liên quan đến Trung Quốc khác.
Nhóm từng được nêu tên lần đầu dưới biệt danh CL-STA-0043 vào tháng 6/2023 và sau đó gọi tạm là TGR-STA-0043 vào tháng 5 năm ngoái, trong khuôn khổ chiến dịch mang tên mã Diplomatic Spectre. Unit 42 cho biết theo dõi liên tục đã cho đủ bằng chứng để phân loại Phantom Taurus là một tác nhân đe dọa mới chuyên lấy dữ liệu mật và thu thập tình báo dài hạn liên quan tới lợi ích kinh tế và địa chính trị của Trung Quốc.
Phương thức tấn công và công cụ độc đáo
Phantom Taurus sử dụng cả kỹ thuật đã thấy trước đây và một số công cụ phát triển riêng hiếm gặp. Họ khai thác các lỗ hổng trên Microsoft IIS và Exchange — ví dụ như ProxyLogon và ProxyShell — để xâm nhập vào mạng mục tiêu, dù vectơ truy cập ban đầu không phải lúc nào cũng rõ ràng. Sau khi thâm nhập, nhóm chuyển từ thu thập email sang nhắm trực tiếp vào cơ sở dữ liệu bằng một tập lệnh hàng loạt: kết nối với SQL Server, xuất kết quả ra CSV và ngắt kết nối; tập lệnh này được thực thi thông qua Windows Management Instrumentation (WMI). Unit 42 cho biết phương pháp này được dùng để hệ thống tìm kiếm tài liệu liên quan đến các quốc gia như Afghanistan và Pakistan.
Đáng chú ý, Phantom Taurus phát triển bộ phần mềm độc hại mới tên NET-STAR, viết bằng .NET và nhắm vào máy chủ IIS. NET-STAR gồm ba cửa hậu web:
- IIServerCore: cửa hậu mô-đun không có tệp, tải bằng shell web ASPX, thực thi trong bộ nhớ các lệnh và tải trọng, truyền kết quả qua kênh C2 mã hóa; hỗ trợ lệnh changeLastModified, cho thấy khả năng thao túng dấu thời gian (timestop) để gây nhiễu cho phân tích pháp y.
- AssemblyExecuter V1: tải và thực thi các payload .NET bổ sung trong bộ nhớ.
- AssemblyExecuter V2: phiên bản nâng cao có thêm khả năng bỏ qua AMSI (Antimalware Scan Interface) và ETW (Event Tracing for Windows).
Unit 42 nhận định NET-STAR phản ánh kỹ thuật né tránh tiên tiến và hiểu biết sâu sắc về kiến trúc .NET, tạo mối đe dọa lớn đối với máy chủ kết nối Internet.
Cơ sở hạ tầng và mối liên hệ hệ sinh thái
Mặc dù Phantom Taurus dùng một số cơ sở hạ tầng chung từng được các nhóm như AT27 (Iron Taurus), APT41 (Starchy/Winnti) và Mustang Panda (Stately Taurus) dùng trước đây, các thành phần hạ tầng mà nhóm này sử dụng lại khác biệt so với các chiến dịch trước — cho thấy có sự “phân chia hoạt động” trong hệ sinh thái đe dọa. Đơn vị 42 nhấn mạnh nhóm này hoạt động trùng thời điểm với các sự kiện toàn cầu lớn, tương tự nhiều nhóm tin tặc có liên quan đến Trung Quốc khác.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview