Hacker Trung Quốc tăng cường tấn công Ấn Độ và Hồng Kông giữa những căng thẳng chính trị
Trong một báo cáo mới nhất được chia sẻ với The Hacker News, công ty an ninh mạng Malwarebytes tiết lộ một hacker người Trung Quốc đã bị phát hiện có liên quan đến một chiến dịch tấn công mạng nhắm tới các cơ quan chính phủ Ấn Độ và cư dân Hồng Kông nhằm đánh cắp các thông tin nhạy cảm.
Chiến dịch tấn công này đã được quan sát và phát hiện trong tuần đầu tiên của tháng 7, trùng khớp với thời gian luật an ninh nhiều tranh cãi của Hồng Kông được thông qua. Đồng thời, nó cũng trùng với thời điểm chính phủ Ấn Độ ban hành lệnh cấm đối với 59 ứng dụng đến từ Trung Quốc do những lo ngại liên quan đến quyền riêng tư, và cũng chỉ vài tuần sau khi xảy ra cuộc giao tranh bạo lưc dọc biên giới Ấn Độ-Trung Quốc.
Góp phần vào điều tra nhóm tin tặc ATP mới này với “sự tự tin vừa phải”, Malwarebytes cho biết họ có thể theo dõi các hoạt động của APT là nhờ vào “các phương thức phishing đặc biệt” mà chúng thiết kế để tấn công các mục tiêu ở Ấn Độ và Hồng Kông (moderate confidence – thông tin có nguồn gốc đáng tin cậy và hợp lý, nhưng chưa đủ bằng chứng để đảm bảo mức độ tin cậy cao hơn).
Các hacker của APT đã lợi dụng ít nhất ba Chiến thuật, Kỹ thuật và Quy trình khác nhau (TTPs). Chúng sử dụng email lừa đảo spear-phishing để thả các biến thể của mã độc Cobalt Strike và MgBot, và sử dụng các ứng dụng Android giả để thu thập các bản ghi âm cuộc gọi, danh bạ và các tin nhắn SMS.
“Mồi nhử được sử dụng trong chiến dịch này đã cho thấy những kẻ tấn công có thể đã nhắm tới chính phủ Ấn Độ và các cư dân của Hồng Kông, hoặc ít nhất là nhắm tới những người chống lại luật an ninh mà Trung Quốc vừa mới ban hành,” công ty này cho biết.
Sử dụng Spear-Phishing để cài đặt mã độc MgBot
Biến thể đầu tiên, được phát hiện vào ngày 2 tháng 7, đã dùng tên miền “gov.in” và gửi cảnh báo đến người nhận nói rằng địa chỉ email của họ đã bị rò rỉ và vì vậy khuyên họ hoàn thành một bản kiểm tra bảo mật trước ngày 5 tháng 7.
Các email được đính kèm với một bản “Mail security check.docx” được cố ý ghi là từ Trung tâm An toàn Thông tin của Chính phủ Ấn Độ. Khi được mở, nó sẽ sử dụng template injectionđể tải xuống một template từ xa và thực thi một biến thể đã bị xáo trộn nặng nề của mã độc Cobalt Strike.
Nhưng chỉ một ngày sau vụ tấn công nói trên, những hacker này đã hoán đổi payload Cobalt Strike độc hại bằng một bản cập nhật của mã độc MgBot.
Và trong phiên bản thứ ba được tìm thấy trên thực tế vào ngày 5 tháng 7, các nhà nghiên cứu phát hiện tin tặc APT đã sử dụng một tài liệu nhúng hoàn toàn khác. Tài liệu này có liên quan tới một tuyên bố về Hồng Kông của Thủ tướng Anh Boris Johnson về việc cho phép ba triệu người Hồng Kông xin cư trú tại quốc gia này.
Các lệnh độc hại dùng để tải và cài loader (được mã hóa trong tài liệu), được thực thi bằng giao thức trao đổi dữ liệu động (DDE). Nó là một hệ thống giao tiếp liên tiến trình cho phép dữ liệu được truyền hoặc chia sẻ giữa các ứng dụng Windows với nhau.
Mã độc RAT với đa dạng các khả năng
Được biết loader này (“ff.exe”) đã ngụy trang một công cụ Realtek Audio Manager và có chứa bốn tài nguyên nhúng, hai trong số đó được viết bằng tiếng Trung giản thể.
Điều này, cùng với việc sử dụng giao thức DDE và template injection, cho thấy đây có thể là thành quả của một kẻ tấn công có nguồn gốc từ Trung Quốc, do các cuộc tấn công trước đó đều lợi dụng cùng một TTPs.
Sau đó, loader này sẽ leo thang các đặc quyền thông qua CMSTP bypass trước khi cài đặt payload cuối cùng, đồng thời thực hiện các kỹ thuật che giấu để tránh bị phát hiện bởi các công cụ debugger và các phần mềm bảo mật.
Để cản trở phân tích tĩnh, “mã code này sẽ tự sửa đổi, nghĩa là nó sẽ tự thay đổi các code section trong thời gian chạy,” các nhà nghiên cứu cho biết.
“Nó sử dụng các lệnh gọi API ‘GetTickCount’ và ‘QueryPerformanceCorer’ để phát hiện môi trường debugger. Để phát hiện xem liệu nó có đang chạy trong một môi trường ảo không, nó sử dụng các chỉ dẫn phát hiện anti-vm như ‘sldt’ và ‘cpid’ để biết thêm thông tin về bộ xử lý đồng thời kiểm tra các cổng IO của Vmware (VMXH).”
Và kết quả thu được là một mã độc cuối cùng (“pMsrvd.dll”) có thể dùng để thực hiện các hoạt động độc hại, mà nó đã thực hiện bằng cách ngụy trang thành một “Video Team Desktop App”.
Mã độc RAT đi kèm này (remote administration trojan) không chỉ có khả năng thiết lập kết nối với một máy chủ command-and-control (C2) ở Hồng Kông, mà nó còn có khả năng ghi lại các tổ hợp phím (keystroke), ảnh chụp màn hình, điều khiển file và các tiến trình (process).
Hơn nữa, các nhà nghiên cứu còn tìm thấy một số ứng dụng Android độc hại thuộc một phần toolset của nhóm tin tặc. Nó được trang bị với các tính năng RAT, như ghi âm, quay màn hình và có các chức năng giúp định vị vị trí của điện thoại, trích xuất và đánh cắp danh bạ, nhật ký cuộc gọi, SMS và lịch sử duyệt web.
Điều thú vị là, có vẻ như nhóm tin tặc APT mới này đã hoạt động ít nhất từ năm 2014, bởi các TTPs của nó được liên kết với ít nhất ba cuộc tấn công khác nhau trong năm 2014, năm 2018 và tháng 3 năm 2020. Và trong tất cả các chiến dịch của mình, chúng đều sử dụng một biến thể của mã độc MgBot để đạt được mục tiêu.
Theo Thehackernews
securitydaily.net