Mới đây, các nhà nghiên cứu an ninh mạng đã có những phát hiện mới liên quan tới cuộc tấn công watering hole attack nhắm vào cộng đồng người Kurd ở Syria và Thổ Nhĩ Kỳ nhằm mục đích giám sát và đánh cắp thông tin tình báo.
Nhóm tin tặc đứng sau hoạt động tấn công có chủ đích này (APT – Advanced Persistent Threat) được gọi là StrongPity. Chúng sử dụng các chiến thuật mới, cải tiến hơn để tấn công chiếm quyền kiểm soát các máy tính bị xâm nhập, công ty an ninh mạng Bitdefender cho biết trong một báo cáo được chia sẻ với The Hacker News.
“Bằng cách sử dụng chiến thuật watering hole để lây nhiễm có chọn lọc nạn nhân và triển khai một mô hình C&C ba tầng (three-tier C&C infrastructure) nhằm cản trở các cuộc điều tra forensic, nhóm APT đã lợi dụng phiên bản trojan hóa của các công cụ phổ biến, như các công cụ archiver, các ứng dụng phục hồi dữ liệu, ứng dụng hỗ trợ kết nối từ xa, các tiện ích, và thậm chí cả phần mềm bảo mật để che giấu nguồn gốc, tránh bị nạn nhân phát hiện,” các nhà nghiên cứu nói.
Sau khi phân tích các mẫu mã độc trong chiến dịch, các nhà nghiên cứu của Bitdefender đã nhận thấy dấu thời gian (timestamps) của chúng trùng với cuộc tấn công của Thổ Nhĩ Kỳ vào vùng đông bắc Syria vào tháng 10 năm ngoái (Operation Peace Spring). Vậy nên, các nhà nghiên cứu cho rằng các cuộc tấn công này có chứa động cơ chính trị đằng sau.
Sử dụng các installer bị nhiễm độc để phát tán mã độc
StrongPity (hay còn gọi Promethium) được phát hiện lần đầu tiên vào tháng 10 năm 2016, sau khi chúng sử dụng phương pháp tấn công watering hole để phát tán các phiên bản độc hại của phần mềm mã hóa WinRAR và TrueCrypt nhắm tới người dùng tại Bỉ và Ý.
Kể từ đó cho đến năm 2018, nhóm tấn công APT này một lần nữa bị phát hiện có liên quan đến một cuộc tấn công lợi dụng mạng Türk Telekom để chuyển hướng hàng trăm người dùng ở Thổ Nhĩ Kỳ và Syria tải phiên bản trojan của các phần mềm hợp pháp chứa mã độc StrongPity.
Do đó, khi nạn nhân tải xuống một ứng dụng hợp pháp từ một trang web chính thức, thì một cuộc tấn công watering hole hoặc một HTTP redirect sẽ được thực thi để xâm nhập vào các hệ thống.
Tháng 7 năm ngoái, AT&T Alien Labs đã tìm thấy bằng chứng về một chiến dịch spyware mới, chuyên khai thác các phiên bản trojan hóa của phần mềm quản lý bộ định tuyến WinBox và WinRAR file archiver để cài mã độc StrongPity và liên lạc với cơ sở hạ tầng đối thủ (adversary infrastructure).
Cuộc tấn công mới được phát hiện bởi Bitdefender vẫn sử dụng phương thức tấn công tương tự: nhắm mục tiêu tới người dùng ở Thổ Nhĩ Kỳ và Syria sử dụng danh sách IP được xác định trước bằng cách lợi dụng các installer giả (McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp và CCLeaner của Piriform) được lưu trữ trên các software aggregate (phần mềm cục bộ) và software sharer (bộ chia phần mềm).
“Điều thú vị là, tất cả các file được điều tra liên quan đến các ứng dụng chứa mã độc này, đều được biên soạn theo một lịch trình cố định từ thứ Hai đến thứ Sáu, trong khoảng thời gian làm việc thông thường từ 9 giờ sáng đến 6 giờ tối theo múi giờ UTC+2. Điều này củng cố thêm nghi ngờ rằng StrongPity có thể là một nhóm nhà phát triển có tổ chức, được tài trợ và trả tiền để thực hiện một số ‘dự án’ nhất định,” các nhà nghiên cứu cho biết.
Sau khi phần mềm độc hại được tải xuống và thực thi, backdoor được cài đặt, thì nó sẽ thiết lập truyền thông với máy chủ C&C để thực hiện đánh cắp tài liệu và truy xuất các lệnh được thực thi.
Nó cũng triển khai phần “File Searcher” trên máy của nạn nhân và loop qua mọi ổ đĩa , tìm kiếm các file có phần mở rộng cụ thể (ví dụ: các tài liệu Microsoft Office) để trích xuất dưới dạng file ZIP.
File ZIP này sau đó sẽ chia thành nhiều file ẩn được mã hóa dưới dạng “.sft”, gửi đến máy chủ C&C, và cuối cùng bị xóa khỏi disk để tránh bị phát hiện.
Mở rộng hoạt động ngoài lãnh thổ Syria và Thổ Nhĩ Kỳ
Mặc dù Syria và Thổ Nhĩ Kỳ là mục tiêu chủ yếu của những kẻ tấn công này, nhưng dường như chúng đang có ý định mở rộng hoạt động của mình và nhắm mục tiêu tới người dùng ở Colombia, Ấn Độ, Canada và Việt Nam bằng cách sử dụng các phiên bản có chứa mã độc của Firefox, VPNpro, DriverPack và 5kPlayer.
Được đặt tên là StrongPity3, malware toolkit mới được các nhà nghiên cứu của Cisco Talos phát hiện đang sử dụng một mô-đun tên là “winprint32.exe” để khởi chạy tìm kiếm tài liệu và truyền ra ngoài các file thu thập được. Hơn nữa trước khi cho phát tán mã độc, Firefox installer giả mạo còn tiến hành kiểm tra xem phần mềm diệt vi-rút của ESET và BitDefender có được cài đặt trên thiết bị hay chưa.
“Các đặc tính riêng biệt của mã độc này là dấu hiệu cho thấy thực tế nhóm tin tặc này có thể thuộc một doanh nghiệp cung cấp dịch vụ hack thuê. Chúng tôi tin rằng các cuộc tấn công này có liên quan đến một gói dịch vụ chuyên nghiệp nào đó, do sự tương đồng gần như tuyệt đối của các mã độc và việc chúng nhắm tới nhiều mục tiêu khác nhau nhưng chỉ thay đổi một vài yếu tố nhỏ,” các nhà nghiên cứu cho biết
Thêm bình luận