Một hoạt động gián điệp mạng đang diễn ra với nghi ngờ có quan hệ với Trung Quốc đã được phát hiện nhằm vào một chính phủ Đông Nam Á để triển khai phần mềm gián điệp trên hệ thống Windows trong khi vẫn nằm trong tầm ngắm của hơn ba năm.
“Trong chiến dịch này, những kẻ tấn công đã sử dụng bộ khai thác và bộ tải Microsoft Office với các kỹ thuật chống phân tích và chống gỡ lỗi để cài đặt một cửa sau chưa biết trước đây trên máy của nạn nhân”, các nhà nghiên cứu từ Điểm kiểm tra Nghiên cứu cho biết trong một báo cáo được công bố ngày hôm nay.
Chuỗi lây nhiễm hoạt động bằng cách gửi các tài liệu giả mạo, mạo danh các thực thể khác trong chính phủ, cho nhiều thành viên của Bộ Ngoại giao, khi được mở ra, sẽ truy xuất tải trọng ở giai đoạn tiếp theo từ máy chủ của kẻ tấn công có chứa trình tải xuống được mã hóa. Đến lượt mình, trình tải xuống sẽ thu thập và lọc thông tin hệ thống tới một máy chủ từ xa mà sau đó phản hồi lại bằng trình tải shellcode.
Lotem Finkelsteen, người đứng đầu cơ quan tình báo về mối đe dọa, cho biết việc sử dụng các bản sao được vũ khí hóa của các tài liệu chính thức trông hợp pháp cũng cho thấy rằng “những kẻ tấn công trước tiên phải tấn công một bộ phận khác trong tiểu bang được nhắm mục tiêu, lấy cắp và vũ khí hóa các tài liệu để sử dụng chống lại Bộ Ngoại giao tại Check Point.
Liên kết cuối cùng trong cuộc tấn công liên quan đến việc trình tải thiết lập kết nối với máy chủ từ xa để tải xuống, giải mã và thực thi một thiết bị cấy ghép có tên “VictoryDll_x86.dll” có khả năng thực hiện các hoạt động tệp, chụp ảnh màn hình, tạo và chấm dứt các quy trình và thậm chí tắt máy bị nhiễm.
Check Point cho biết đối thủ đã nỗ lực đáng kể để che giấu hoạt động của họ bằng cách thay đổi cơ sở hạ tầng nhiều lần kể từ khi phát triển vào năm 2017, với backdoor nhận được phần sửa đổi hợp lý của riêng mình để giúp nó linh hoạt hơn trong việc phân tích và giảm tỷ lệ phát hiện ở mỗi giai đoạn.
Chiến dịch kéo dài đã được liên kết với mức độ “tin cậy từ trung bình đến cao” với một nhóm đe dọa dai dẳng tiên tiến của Trung Quốc (APT) mà nhóm này gọi là “SharpPanda” dựa trên các phiên bản thử nghiệm của backdoor có từ năm 2018 đã được tải lên VirusTotal từ Trung Quốc và việc sử dụng thiết bị vũ khí Royal Road RTF của diễn viên, một công cụ được sử dụng trong các chiến dịch được quy cho các nhóm đe dọa nổi tiếng của Trung Quốc kể từ cuối năm 2018.
Một số manh mối khác dẫn đến kết luận này, bao gồm thực tế là các máy chủ điều khiển và kiểm soát (C2) chỉ trả về tải trọng trong khoảng thời gian từ 01:00 đến 08:00 UTC, mà các nhà nghiên cứu nghi ngờ là giờ làm việc ở quốc gia của những kẻ tấn công, và rằng không có trọng tải nào được trả lại bởi các máy chủ C2 trong khoảng thời gian từ ngày 1 đến ngày 5 tháng 5 – ngay cả trong giờ làm việc – trùng với ngày nghỉ Lễ Lao động ở Trung Quốc.
Sự phát triển này là một dấu hiệu khác cho thấy nhiều nhóm đe dọa mạng được cho là đang hoạt động để hỗ trợ các lợi ích kinh tế dài hạn của Trung Quốc. tiếp tục để tấn công các mạng thuộc các chính phủ và tổ chức, đồng thời dành nhiều thời gian để tinh chỉnh các công cụ trong kho vũ khí của họ để che giấu sự xâm nhập của họ.
Finkelsteen cho biết: “Tất cả các bằng chứng đều chỉ ra thực tế rằng chúng tôi đang đối phó với một hoạt động có tổ chức cao, đặt nỗ lực đáng kể vào việc duy trì hoạt động dưới tầm quan sát. “Nhìn chung, những kẻ tấn công, những người mà chúng tôi tin là một nhóm đe dọa từ Trung Quốc, đã rất có hệ thống trong cách tiếp cận của họ.”
“Những kẻ tấn công không chỉ quan tâm đến dữ liệu lạnh mà còn cả những gì đang xảy ra trên máy tính cá nhân của mục tiêu bất cứ lúc nào, dẫn đến gián điệp trực tiếp. Mặc dù chúng tôi đã có thể ngăn chặn hoạt động giám sát của chính phủ Đông Nam Á, nhưng có thể nhóm đe dọa đang sử dụng vũ khí gián điệp mạng mới của họ vào các mục tiêu khác trên thế giới, “ông nói thêm.
