Các nhà nghiên cứu an ninh mạng hôm nay đã phát hiện ra các chi tiết mới về các cuộc tấn công vào lỗ nước chống lại cộng đồng người Kurd ở Syria và Thổ Nhĩ Kỳ cho các mục đích giám sát và tình báo.
Các mối đe dọa dai dẳng đằng sau hoạt động, được gọi là Mạnh mẽ, đã trang bị lại các chiến thuật mới để kiểm soát các máy bị xâm nhập, công ty an ninh mạng Bitdefender nói trong một báo cáo đã chia sẻ với Tin tức Hacker.
“Sử dụng chiến thuật tưới nước để lây nhiễm có chọn lọc nạn nhân và triển khai cơ sở hạ tầng C & C ba tầng để ngăn chặn các cuộc điều tra pháp y, nhóm APT đã tận dụng các công cụ phổ biến của Trojan, như lưu trữ, ứng dụng khôi phục tệp, ứng dụng kết nối từ xa, tiện ích và thậm chí cả phần mềm bảo mật, để bao gồm một loạt các lựa chọn mà nạn nhân nhắm mục tiêu có thể đang tìm kiếm, “các nhà nghiên cứu nói.
Với dấu thời gian của các mẫu phần mềm độc hại được phân tích được sử dụng trong chiến dịch trùng với cuộc tấn công của Thổ Nhĩ Kỳ vào vùng đông bắc Syria (tên mã Chiến dịch hòa bình mùa xuân) vào tháng 10 năm ngoái, Bitdefender cho biết các cuộc tấn công có thể đã có động cơ chính trị.
Sử dụng trình cài đặt Tained để loại bỏ phần mềm độc hại
StrongPity (hoặc Promethium) lần đầu tiên được báo cáo công khai trên Tháng 10 năm 2016 sau các cuộc tấn công chống lại người dùng ở Bỉ và Ý đã sử dụng các lỗ tưới nước để cung cấp các phiên bản độc hại của phần mềm mã hóa tệp WinRAR và TrueCrypt.
Kể từ đó, APT đã được liên kết với một Hoạt động năm 2018 đã lạm dụng mạng của Türk Telekom để chuyển hướng hàng trăm người dùng ở Thổ Nhĩ Kỳ và Syria sang các phiên bản phần mềm xác thực StrongPity độc hại.
Do đó, khi người dùng được nhắm mục tiêu tải xuống một ứng dụng hợp pháp trên trang web chính thức, một cuộc tấn công lỗ tưới nước hoặc chuyển hướng HTTP được thực hiện để thỏa hiệp các hệ thống.
Tháng 7 năm ngoái, Phòng thí nghiệm Alien của AT & T đã tìm thấy bằng chứng mới chiến dịch phần mềm gián điệp đã khai thác các phiên bản trojanized của phần mềm quản lý bộ định tuyến WinBox và trình lưu trữ tệp WinRAR để cài đặt StrongPity và liên lạc với cơ sở hạ tầng bất lợi.
Phương thức tấn công mới được xác định bởi Bitdefender vẫn giống nhau: nạn nhân mục tiêu ở Thổ Nhĩ Kỳ và Syria sử dụng danh sách IP được xác định trước bằng cách tận dụng các trình cài đặt bị giả mạo – bao gồm McAfee Security Scan Plus, Recuva, TeamViewer, WhatsApp và CCLeaner của Piriform – được lưu trữ trên các phần mềm và bộ chia phần mềm cục bộ.
“Thật thú vị, tất cả các tệp được điều tra liên quan đến các ứng dụng bị nhiễm độc dường như đã được tổng hợp từ thứ Hai đến thứ Sáu, trong 9 đến 6 giờ UTC + 2 giờ làm việc bình thường”, các nhà nghiên cứu cho biết. “Điều này củng cố ý tưởng rằng StrongPity có thể là một nhóm nhà phát triển được tài trợ và có tổ chức trả tiền để cung cấp một số ‘dự án’.”
Sau khi trình tải xuống phần mềm độc hại được tải xuống và thực thi, cửa sau được cài đặt, thiết lập liên lạc với máy chủ chỉ huy và kiểm soát để thực hiện tài liệu và để truy xuất các lệnh được thực thi.
Nó cũng triển khai thành phần “Trình tìm kiếm tệp” trên máy của nạn nhân vòng qua mọi ổ đĩa và tìm kiếm các tệp có phần mở rộng cụ thể (ví dụ: tài liệu Microsoft Office) để được lưu trữ dưới dạng lưu trữ ZIP.
Tệp ZIP này sau đó được chia thành nhiều tệp được mã hóa “.sft” ẩn, được gửi đến máy chủ C & C và cuối cùng bị xóa khỏi đĩa để che bất kỳ dấu vết nào của quá trình lọc.
Mở rộng ra ngoài Syria và Thổ Nhĩ Kỳ
Mặc dù Syria và Thổ Nhĩ Kỳ có thể là mục tiêu định kỳ của họ, nhưng tác nhân đe dọa đằng sau StrongPity dường như đang mở rộng nạn nhân của họ để lây nhiễm cho người dùng ở Colombia, Ấn Độ, Canada và Việt Nam bằng cách sử dụng các phiên bản Firefox, VPNpro, DriverPack và 5kPlayer.
Gọi nó là StrongPity3, Các nhà nghiên cứu của Cisco Talos ngày hôm qua đã mô tả một bộ công cụ phần mềm độc hại đang phát triển sử dụng một mô-đun gọi là “winprint32.exe” để khởi chạy tìm kiếm tài liệu và truyền các tệp được thu thập. Hơn nữa, trình cài đặt Firefox giả mạo cũng kiểm tra xem phần mềm chống vi-rút ESET hoặc BitDefender có được cài đặt hay không trước khi loại bỏ phần mềm độc hại.
“Những đặc điểm này có thể được hiểu là dấu hiệu cho thấy tác nhân đe dọa này trên thực tế có thể là một phần của dịch vụ doanh nghiệp cho hoạt động cho thuê”, các nhà nghiên cứu cho biết. “Chúng tôi tin rằng điều này đã đánh dấu một giải pháp đóng gói chuyên nghiệp do sự giống nhau của từng phần mềm độc hại cực kỳ giống nhau nhưng được sử dụng trên các mục tiêu khác nhau với những thay đổi nhỏ.”
