Các nhà nghiên cứu an ninh mạng đã tiết lộ chi tiết về một cuộc tấn công lỗ hổng mới nhắm mục tiêu vào cộng đồng người Hàn Quốc khai thác lỗ hổng trong các trình duyệt web như Google Chrome và Internet Explorer để triển khai phần mềm độc hại cho mục đích gián điệp.
Được mệnh danh là “Chiến dịch Earth Kitsune“của Trend Micro, chiến dịch liên quan đến việc sử dụng phần mềm độc hại SLUB (dành cho SLack và githUB) và hai cửa hậu mới – dneSpy và agfSpy – để lọc thông tin hệ thống và giành quyền kiểm soát bổ sung đối với máy bị xâm nhập.
Theo công ty an ninh mạng, các cuộc tấn công đã được quan sát trong các tháng 3, 5 và 9.
Các cuộc tấn công lỗ tưới nước cho phép kẻ xấu xâm phạm một doanh nghiệp được nhắm mục tiêu bằng cách xâm phạm một trang web được lựa chọn cẩn thận bằng cách chèn một phần mềm khai thác với ý định truy cập vào thiết bị của nạn nhân và lây nhiễm phần mềm độc hại.
Operation Earth Kitsune được cho là đã triển khai các mẫu phần mềm gián điệp trên các trang web liên kết với Triều Tiên, mặc dù quyền truy cập vào các trang web này bị chặn đối với những người dùng có nguồn gốc từ địa chỉ IP của Hàn Quốc.
Một chiến dịch đa dạng
Mặc du hoạt động trước đó liên quan đến SLUB đã sử dụng nền tảng kho lưu trữ GitHub để tải các đoạn mã độc hại xuống hệ thống Windows và đăng kết quả thực thi lên kênh Slack riêng tư do kẻ tấn công kiểm soát, phiên bản mới nhất của phần mềm độc hại đã nhắm mục tiêu đến Mattermost, một cộng tác nguồn mở giống Slack hệ thống nhắn tin.
“Chiến dịch rất đa dạng, triển khai nhiều mẫu cho các máy nạn nhân và sử dụng nhiều máy chủ điều khiển và kiểm soát (C&C) trong hoạt động này”, Trend Micro cho biết. “Tổng cộng, chúng tôi nhận thấy chiến dịch sử dụng năm máy chủ C&C, bảy mẫu và khai thác cho bốn lỗi N-day.”
Được thiết kế để bỏ qua các hệ thống có cài đặt phần mềm bảo mật như một phương tiện để cản trở việc phát hiện, cuộc tấn công này đã vũ khí hóa lỗ hổng Chrome đã được vá (CVE-2019-5782) cho phép kẻ tấn công thực thi mã tùy ý bên trong hộp cát thông qua HTML được chế tạo đặc biệt trang.
Ngoài ra, một lỗ hổng trong Internet Explorer (CVE-2020-0674) cũng được sử dụng để cung cấp phần mềm độc hại qua các trang web bị xâm nhập.
dneSpy và agfSpy – Cửa hậu gián điệp đầy đủ chức năng
Mặc dù có sự khác biệt về vectơ lây nhiễm, chuỗi khai thác tiến hành theo trình tự các bước giống nhau – bắt đầu kết nối với máy chủ C&C, nhận ống nhỏ giọt, sau đó kiểm tra sự hiện diện của các giải pháp chống phần mềm độc hại trên hệ thống đích trước khi tiếp tục tải xuống ba mẫu cửa hậu (ở định dạng “.jpg”) và thực thi chúng.
Điều đã thay đổi lần này là việc sử dụng máy chủ Mattermost để theo dõi việc triển khai trên nhiều máy bị nhiễm, ngoài việc tạo một kênh riêng cho từng máy để lấy thông tin đã thu thập từ máy chủ bị nhiễm.
Trong số hai backdoor khác, dneSpy và agfSpy, backdoor trước đây được thiết kế để thu thập thông tin hệ thống, chụp ảnh màn hình, tải xuống và thực thi các lệnh độc hại nhận được từ máy chủ C&C, kết quả của chúng được nén, mã hóa và lọc tới máy chủ.
Các nhà nghiên cứu của Trend Micro cho biết: “Một khía cạnh thú vị trong thiết kế của dneSpy là hành vi xoay vòng C&C của nó. “Phản hồi của máy chủ C&C trung tâm thực sự là miền / IP của máy chủ C&C giai đoạn tiếp theo, mà dneSpy phải giao tiếp để nhận thêm hướng dẫn.”
agfSpy, đối tác của dneSpy, đi kèm với cơ chế máy chủ C&C riêng mà nó sử dụng để tìm nạp các lệnh shell và gửi lại kết quả thực thi. Đứng đầu trong số các tính năng của nó bao gồm khả năng liệt kê các thư mục và liệt kê, tải lên, tải xuống và thực thi các tệp.
Các nhà nghiên cứu kết luận: “Chiến dịch Earth Kitsune hóa ra rất phức tạp và sung mãn, nhờ vào sự đa dạng của các thành phần mà nó sử dụng và sự tương tác giữa chúng”. “Chiến dịch sử dụng các mẫu mới để tránh bị các sản phẩm bảo mật phát hiện cũng khá đáng chú ý.”
“Từ shellcode khai thác Chrome đến agfSpy, các phần tử trong hoạt động được mã hóa tùy chỉnh, cho thấy rằng có một nhóm đứng sau hoạt động này. Nhóm này dường như hoạt động mạnh trong năm nay và chúng tôi dự đoán rằng họ sẽ tiếp tục đi theo hướng này cho thỉnh thoảng.”
