Một nhóm hacker Trung Quốc đã bị phát hiện đứng sau một chiến dịch gián điệp mạng nhằm vào các tổ chức chính phủ ở Úc, Indonesia, Philippines, Việt Nam, Thái Lan, Myanmar và Brunei. Chiến dịch này đã tồn tại ít nhất 5 năm mà không bị phát hiện.
Nhóm hacker Naikon APT từng được biết đến là một trong những tổ chức APT (Advanced Persistent Threat – nhóm tấn công hệ thống máy tính bí mật) hoạt động mạnh nhất ở châu Á cho đến năm 2015. Chúng đã thực hiện một chuỗi các cuộc tấn công mạng ở khu vực châu Á-Thái Bình Dương (APAC) để tìm kiếm thông tin địa chính trị.
Theo báo cáo điều tra mới nhất của các nhà nghiên cứu tại Check Point, Naikon APT đã hoạt động bí mật suốt 5 năm nhờ sử dụng một backdoor mới gọi là “Aria-body”.
Các nhà nghiên cứu cho biết “Với đặc điểm của các nạn nhân và những gì thu thập được, rõ ràng mục tiêu của nhóm là thu thập thông tin tình báo và gián điệp nhắm tới các quốc gia trong khu vực nói trên”.
Aria-body đang được sử dụng để kiểm soát các mạng nội bộ của một tổ chức bị nhắm đến. Ngoài ra, backdoor này còn tấn công vào các công ty và lây nhiễm cho nhiều người khác.
“Kẻ xấu không những định vị, thu thập tài liệu từ các máy tính và mạng bị nhiễm trong các cơ quan chính phủ mà còn trích xuất các ổ dữ liệu di động, chụp màn hình và ghi lại nhật ký bàn phím và cả thu thập dữ liệu bị đánh cắp cho mục đích gián điệp.”
Chiến dịch tình báo địa chính trị
Theo những tài liệu đầu tiên vào năm 2015, nhóm Naikon APT đã sử dụng các email mồi nhử như một phương thức tấn công ban đầu vào các cơ quan chính phủ, các tổ chức dân sự và quân sự cấp cao. Khi mở những email này, phần mềm gián điệp sẽ đánh cắp các tài liệu nhạy cảm từ máy chủ C2 (command-and-control – điều khiển và chỉ huy) từ xa.
Mặc dù không có dấu hiệu hoạt động mới nào được báo cáo kể từ 2015, những nghiên cứu mới nhất của Check Point đã tìm ra những điểm khả nghi mới.
Ông Lotem Finkelstein, quản lý tình báo mối đe dọa tại Check Point, cho biết “Naikon đã cố gắng tấn công một trong những khách hàng của chúng tôi bằng cách mạo danh một tổ chức chính phủ nước ngoài. Chúng tôi đã nhìn thấy điểm đáng ngờ và quyết định điều tra thêm”.
Không chỉ có chuỗi đa lây nhiễm chứa Aria-body mà các email độc hại cũng chứa tệp RTF tên là “The Indians Way.doc”. Tệp này có chứa một trình xây dựng khai thác tên là RoyalBlood. RoyalBlood đã thả trình tải (intel.wll) trong thư mục khởi động của hệ thống Microsoft Word (%APPDATA%\Microsoft\Word\STARTUP).
RoyalBlood là một vũ khí RTF được chia sẻ chủ yếu giữa các kẻ tấn công Trung Quốc. Điều đáng chú ý là một modus operandi (cách thức hoạt động) tương tự đã được liên kết với một chiến dịch chống lại các cơ quan chính phủ Mông Cổ tên là Vicious Panda. Chiến dịch này bị phát hiện lợi dụng đại dịch COVID-19 để cài thêm phần mềm độc hại thông qua các thủ thuật tấn công phi kỹ thuật.
Trong một cơ chế lây nhiễm riêng biệt, các tệp lưu trữ đã được đính kèm với một tệp thực thi hợp pháp (như Outlook hay Avast Proxy) và một thư viện độc hại để đưa trình tải vào hệ thống.
Sau khi đặt chân vào hệ thống, trình tải sẽ kết nối với máy chủ C2 để tải xuống payload tiếp theo của Aria-body.
Các nhà nghiên cứu cho biết “Sau khi có tên miền C2, trình tải liên hệ với nó để tải xuống tiếp theo và cũng là phần cuối cùng của chuỗi lây nhiễm. Mặc dù nghe có vẻ đơn giản, những kẻ tấn công vận hành máy chủ C2 trong một số daily window hạn chế, chỉ truy cập trực tuyến mỗi ngày vài giờ. Điều này khiến việc truy cập vào các phần nâng cao của lây nhiễm trở nên khó khăn hơn.”
RAT (Remote Access Trojan – Trojan kết nối từ xa) của Aria-body được đặt tên là aria-body-dllX86.dll. Nó được tạo bởi những kẻ viết malware, có tất cả các tính năng mong đợi của một backdoor thông thường như tạo và xóa các tệp hay thư mục, chụp màn hình, tìm kiếm tệp, thu thập siêu dữ liệu tệp, thu thập thông tin hệ thống và vị trí và một số tính năng khác.
Một số biến thể gần đây của Aria-body cũng được trang bị khả năng ghi lại lịch sử gõ phím và thậm chí tải các phần mở rộng khác. Theo các nhà nghiên cứu backdoor đang được tích cực phát triển.
Ngoài việc đánh cắp tất cả các dữ liệu thu thập được đến máy chủ C2, backdoor sẽ thực hiện bất kỳ lệnh bổ sung nào được chuyển đến.
Những phân tích sâu hơn về cơ sở hạ tầng của máy chủ C2 cho thấy một số tên miền đã được sử dụng trong thời gian dài, một địa chỉ IP được sử dụng nhiều lần với nhiều tên miền khác nhau.
Tinh vi hơn, kẻ xấu đã xâm phạm và sử dụng các máy chủ bị nhiễm backdoor làm máy chủ C2 để khởi động các cuộc tấn công thay vì truy cập bằng các máy chủ từ xa. Từ đó chuyển tiếp và định tuyến dữ liệu bị đánh cắp.
Manh mối dẫn đến Naikon APT
Check Point cho biết họ phát hiện ra chiến dịch của Naikon APT dựa trên sự tương đồng về mã trong Aria-body và công cụ gián điệp năm 2015 của Kaspersky (XSControl) cũng như việc sử dụng tên miền C2 (mopo3[.]net) để dùng cho cùng một địa chỉ IP như các tên miền bên dưới (myanmartech.vicp[.]net).
Check Point kết luận “Mặc dù không phát hiện ra bất kỳ hoạt động nào của Naikon APT trong 5 năm qua, có vẻ như họ đã không nhàn rỗi. Bằng cách sử dụng cơ sở hạ tầng máy chủ mới, các biến thể thay đổi liên tục của trình tải, tải in-memory fileless hay loại backdoor mới, nhóm Naikon APT đã thành công trong việc tránh bị các nhà nghiên cứu phát hiện.
Thêm bình luận