Một nhóm tin tặc tiên tiến của Trung Quốc gần đây đã bị phát hiện đứng sau một chiến dịch gián điệp mạng kéo dài nhằm vào các thực thể chính phủ ở Úc, Indonesia, Philippines, Việt Nam, Thái Lan, Myanmar và Brunei, đã không bị phát hiện trong ít nhất 5 năm và vẫn đang tiếp diễn mối đe dọa.
Nhóm này, được đặt tên là ‘Naikon APT,’ từng được biết đến là một trong những APT hoạt động mạnh nhất ở châu Á cho đến năm 2015, đã thực hiện một chuỗi các cuộc tấn công mạng ở khu vực châu Á-Thái Bình Dương (APAC) để tìm kiếm thông tin địa chính trị.
Theo báo cáo điều tra mới nhất, các nhà nghiên cứu của Check Point đã chia sẻ với The Hacker News, nhóm Naikon APT đã không im lặng trong 5 năm qua, như nghi ngờ ban đầu; thay vào đó, nó đã sử dụng một cửa hậu mới, được gọi là “Cơ thể, “Để hoạt động lén lút.
Các nhà nghiên cứu cho biết: “Với đặc điểm của các nạn nhân và khả năng do nhóm trình bày, rõ ràng mục đích của nhóm là thu thập thông tin tình báo và gián điệp các quốc gia mà chính phủ mà nó nhắm tới”.
Nói tóm lại, cửa hậu cơ thể của Aria đang được sử dụng để kiểm soát các mạng nội bộ của một tổ chức được nhắm mục tiêu, ngoài việc gắn các cuộc tấn công từ một công ty đã bị vi phạm để lây nhiễm cho người khác.
“Điều này bao gồm không chỉ định vị và thu thập tài liệu cụ thể từ các máy tính và mạng bị nhiễm trong các cơ quan chính phủ, mà còn trích xuất các ổ dữ liệu di động, chụp ảnh màn hình và keylogging, và tất nhiên, thu thập dữ liệu bị đánh cắp để làm gián điệp.”
Chiến dịch tình báo chính trị địa lý
Đầu tiên tài liệu vào năm 2015, nhóm Naikon APT sử dụng mồi nhử email được chế tạo như một vectơ tấn công ban đầu chống lại các cơ quan chính phủ cấp cao và các tổ chức dân sự và quân sự, khi mở ra, đã cài đặt phần mềm gián điệp làm lộ ra các tài liệu nhạy cảm cho các máy chủ chỉ huy và kiểm soát từ xa (C2) .
Mặc dù không có dấu hiệu hoạt động mới nào được báo cáo kể từ đó, nghiên cứu mới nhất của Check Point đưa hoạt động của nó vào một ánh sáng mới.
“Naikon đã cố gắng tấn công một trong những khách hàng của chúng tôi bằng cách mạo danh chính phủ nước ngoài – đó là khi họ quay trở lại radar của chúng tôi sau năm năm vắng bóng, và chúng tôi quyết định điều tra thêm”, Lotem Finkelsteen, quản lý tình báo mối đe dọa tại Check Point, cho biết .
Không chỉ có nhiều chuỗi lây nhiễm được sử dụng để cung cấp cửa hậu cơ thể của Aria, mà các email độc hại cũng chứa tệp RTF (có tên là “The Indians Way.doc”) đã bị nhiễm một trình xây dựng khai thác có tên RoyalBlood, đã làm rơi trình tải (intel .wll) trong thư mục khởi động Microsoft Word của hệ thống (“% APPDATA% Microsoft Word STARTUP”).
Hoàng gia là một vũ khí RTF được chia sẻ chủ yếu giữa các diễn viên đe dọa Trung Quốc. Điều đáng chú ý là một modus operandi tương tự đã được liên kết với một chiến dịch chống lại các cơ quan chính phủ Mông Cổ, được gọi là Panda độc ác, đã được tìm thấy khai thác sự bùng phát coronavirus đang diễn ra để trồng phần mềm độc hại thông qua các thủ thuật kỹ thuật xã hội.
Trong một cơ chế lây nhiễm riêng biệt, các tệp lưu trữ đã được đóng gói với một tệp thực thi hợp pháp (như Outlook và Avast Proxy) và một thư viện độc hại để thả trình tải vào hệ thống đích.
Bất kể phương pháp nào để có được chỗ đứng ban đầu, trình tải sau đó đã thiết lập kết nối với máy chủ C2 để tải xuống tải trọng cửa sau cơ thể của giai đoạn tiếp theo.
“Sau khi có được miền C & C, trình tải liên hệ với nó để tải xuống giai đoạn tiếp theo và cuối cùng của chuỗi nhiễm trùng”, các nhà nghiên cứu lưu ý. “Mặc dù nghe có vẻ đơn giản, những kẻ tấn công vận hành máy chủ C & C trong một cửa sổ hàng ngày hạn chế, chỉ truy cập trực tuyến trong vài giờ mỗi ngày, khiến việc truy cập vào các phần nâng cao của chuỗi nhiễm trùng trở nên khó khăn hơn.”
RAT của cơ thể Aria, được đặt tên dựa trên tên “aria-body-dllX86.dll” được cung cấp bởi các tác giả phần mềm độc hại, có tất cả các tính năng bạn mong đợi từ một cửa hậu thông thường: tạo và xóa các tệp và thư mục, chụp ảnh màn hình, tìm kiếm tệp, thu thập siêu dữ liệu tệp, thu thập thông tin hệ thống và vị trí, trong số những người khác.
Một số biến thể gần đây của cơ thể Aria cũng được trang bị khả năng chụp phím và thậm chí tải các phần mở rộng khác, theo các nhà nghiên cứu, cho thấy cửa hậu đang được phát triển tích cực.
Ngoài việc thực hiện tất cả các dữ liệu được thu thập đến máy chủ C2, cửa sau sẽ lắng nghe bất kỳ lệnh bổ sung nào sẽ được thực thi.
Phân tích sâu hơn về cơ sở hạ tầng C2 cho thấy một số tên miền đã được sử dụng trong thời gian dài, với cùng một địa chỉ IP được sử dụng lại với nhiều hơn một tên miền.
Đưa chiến thuật trốn tránh của họ lên một tầm cao mới, kẻ thù đã xâm phạm và sử dụng các máy chủ trong các bộ bị nhiễm như các máy chủ C2 để khởi động các cuộc tấn công, chuyển tiếp và định tuyến dữ liệu bị đánh cắp, thay vì phát hiện rủi ro khi truy cập các máy chủ từ xa.
Liên kết với Naikon APT
Check Point cho biết họ quy kết chiến dịch cho Naikon APT dựa trên sự tương đồng về mã trong cơ thể của Aria và công cụ gián điệp chi tiết bởi Kaspersky (được gọi là “XSControl”) vào năm 2015, cũng như trong việc sử dụng các tên miền C2 (mopo3[.]net) phân giải đến cùng một địa chỉ IP như các tên miền được đề cập sau (myanmartech.vicp[.]mạng lưới).
“Trong khi nhóm Naikon APT đã ở dưới radar trong 5 năm qua, có vẻ như họ đã không nhàn rỗi,” Check Point kết luận. “Trên thực tế, hoàn toàn ngược lại. Bằng cách sử dụng cơ sở hạ tầng máy chủ mới, các biến thể của trình tải thay đổi liên tục, tải không có bộ nhớ trong bộ nhớ, cũng như một cửa hậu mới – nhóm Naikon APT có thể ngăn các nhà phân tích truy tìm hoạt động của họ. “
.
