Theo một nghiên cứu mới được công bố của Kaspersky hôm qua, một diễn viên đe dọa Trung Quốc đã phát triển các khả năng mới để nhắm mục tiêu vào các hệ thống bị chặn không khí nhằm cố gắng làm mất dữ liệu nhạy cảm để làm gián điệp.
APT, được gọi là Cycldek, Goblin Panda, hoặc Conimes, sử dụng một bộ công cụ rộng rãi để di chuyển bên và đánh cắp thông tin trong các mạng nạn nhân, bao gồm các công cụ tùy chỉnh, chiến thuật và thủ tục trước đây trong các cuộc tấn công chống lại các cơ quan chính phủ ở Việt Nam, Thái Lan và Lào.
“Một trong những công cụ mới được tiết lộ có tên USBCulprit và đã được tìm thấy dựa vào phương tiện USB để làm lộ dữ liệu nạn nhân, ” Kaspersky nói. “Điều này có thể cho thấy Cycldek đang cố gắng tiếp cận các mạng không khí trong môi trường nạn nhân hoặc dựa vào sự hiện diện vật lý cho cùng một mục đích.”
Lần đầu tiên được quan sát bởi Đám đông vào năm 2013, Cycldek có một lịch sử lâu dài về các lĩnh vực quốc phòng, năng lượng và chính phủ ở Đông Nam Á, đặc biệt là Việt Nam, sử dụng các tài liệu giải mã khai thác các lỗ hổng đã biết (ví dụ: CVE-2012-0158, CVE-2017-11882, CVE-2018 -0802) trong Microsoft Office để loại bỏ phần mềm độc hại có tên NewCore RAT.
Xuất dữ liệu vào ổ đĩa di động
Phân tích của NewCore của Kaspersky đã tiết lộ hai biến thể khác nhau (được đặt tên là BlueCore và RedCore) tập trung vào hai cụm hoạt động, có sự tương đồng về cả mã và cơ sở hạ tầng, nhưng cũng chứa các tính năng dành riêng cho RedCore – cụ thể là keylogger và trình ghi RDP ghi lại chi tiết về người dùng kết nối với hệ thống thông qua RDP.
“Mỗi cụm hoạt động có một trọng tâm địa lý khác nhau,” các nhà nghiên cứu nói. “Các nhà khai thác đằng sau cụm BlueCore đã đầu tư hầu hết các nỗ lực của họ vào các mục tiêu Việt Nam với một số ngoại lệ ở Lào và Thái Lan, trong khi các nhà khai thác của cụm RedCore bắt đầu tập trung vào Việt Nam và chuyển hướng sang Lào vào cuối năm 2018.”
Lần lượt, cả cấy ghép BlueCore và RedCore đều tải xuống nhiều công cụ bổ sung để tạo điều kiện cho việc di chuyển bên (HDoor) và trích xuất thông tin (JsonCookies và ChromePass) từ các hệ thống bị xâm nhập.
Đứng đầu trong số đó là một phần mềm độc hại có tên USBCulprit có khả năng quét một số đường dẫn, thu thập tài liệu với các tiện ích mở rộng cụ thể (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *. rtf) và xuất chúng vào ổ USB được kết nối.
Hơn nữa, phần mềm độc hại được lập trình để sao chép chính nó vào các ổ đĩa di động nhất định để nó có thể di chuyển sang các hệ thống bị chặn không khí khác mỗi khi ổ USB bị nhiễm được đưa vào máy khác.
Một phân tích từ xa của Kaspersky đã phát hiện ra rằng phiên bản đầu tiên của nhị phân bắt đầu từ năm 2014, với các mẫu mới nhất được ghi nhận vào cuối năm ngoái.
Cơ chế lây nhiễm ban đầu dựa trên việc tận dụng các nhị phân độc hại bắt chước các thành phần chống vi-rút hợp pháp để tải USBCulprit trong cái được gọi là DLL tìm kiếm chiếm quyền điều khiển trước khi tiến hành thu thập thông tin liên quan, hãy lưu nó dưới dạng lưu trữ RAR được mã hóa và lọc dữ liệu sang thiết bị di động được kết nối.
“Các đặc điểm của phần mềm độc hại có thể làm phát sinh một số giả định về mục đích sử dụng và các trường hợp sử dụng, một trong số đó là tiếp cận và lấy dữ liệu từ các máy bị kẹt không khí”, các nhà nghiên cứu cho biết. “Điều này sẽ giải thích việc thiếu bất kỳ giao tiếp mạng nào trong phần mềm độc hại và việc chỉ sử dụng phương tiện lưu động như một phương tiện truyền dữ liệu trong và ngoài nước.”
Cuối cùng, sự tương đồng và khác biệt giữa hai phần mềm độc hại là dấu hiệu cho thấy thực tế là các tác nhân đằng sau các cụm đang chia sẻ mã và cơ sở hạ tầng, trong khi hoạt động như hai nhánh khác nhau dưới một thực thể lớn hơn.
“Cycldek là một ví dụ về một diễn viên có khả năng rộng hơn so với nhận thức công khai”, Kaspersky kết luận. “Trong khi hầu hết các mô tả được biết về hoạt động của nó mang lại ấn tượng về một nhóm cận biên với khả năng phụ, thì phạm vi công cụ và thời gian hoạt động cho thấy nhóm có chỗ đứng rộng lớn trong mạng lưới các mục tiêu cao cấp ở Đông Nam Á.”
