Một nhóm gián điệp mạng bị nghi ngờ có quan hệ với chính phủ Kazakhstan và Lebanon đã mở ra một làn sóng tấn công mới nhằm vào vô số ngành công nghiệp với phiên bản được trang bị lại của một Trojan backdoor 13 năm tuổi.
Check Point Research đã chỉ ra những tin tặc liên kết với một nhóm có tên Caracal tối trong một báo cáo mới được công bố ngày hôm qua vì những nỗ lực của họ trong việc triển khai “hàng chục biến thể được ký điện tử” của Bandook Trojan Windows trong năm qua, do đó một lần nữa “khơi dậy sự quan tâm đến họ phần mềm độc hại cũ này.”
Các ngành dọc khác nhau mà tác nhân đe dọa chỉ ra bao gồm chính phủ, tài chính, năng lượng, công nghiệp thực phẩm, y tế, giáo dục, CNTT và các tổ chức pháp lý đặt tại Chile, Cyprus, Đức, Indonesia, Ý, Singapore, Thụy Sĩ, Thổ Nhĩ Kỳ và Mỹ.
Sự đa dạng bất thường của các thị trường và địa điểm được nhắm mục tiêu “củng cố giả thuyết trước đó rằng phần mềm độc hại không được phát triển nội bộ và được sử dụng bởi một tổ chức duy nhất, mà là một phần của cơ sở hạ tầng tấn công được bên thứ ba bán cho các chính phủ và các tác nhân đe dọa trên toàn thế giới, tạo điều kiện cho các hoạt động tấn công mạng “, các nhà nghiên cứu cho biết.
Việc Dark Caracal sử dụng rộng rãi Bandook RAT để thực hiện hoạt động gián điệp trên quy mô toàn cầu là tài liệu đầu tiên bởi Electronic Frontier Foundation (EFF) và Lookout vào đầu năm 2018, với việc nhóm này bị quy là đã đánh cắp tài sản trí tuệ doanh nghiệp và thông tin nhận dạng cá nhân từ hàng nghìn nạn nhân trên 21 quốc gia.
Nhóm sung mãn, đã hoạt động ít nhất từ năm 2012, có liên hệ với Tổng cục An ninh Lebanon (GDGS), coi đây là mối đe dọa dai dẳng cấp quốc gia cấp quốc gia.
Việc các nhóm khác nhau sử dụng đồng thời cùng một cơ sở hạ tầng phần mềm độc hại cho các chiến dịch dường như không liên quan đã khiến EFF và Lookout phỏng đoán rằng tác nhân APT “sử dụng hoặc quản lý cơ sở hạ tầng được phát hiện đang lưu trữ một số chiến dịch gián điệp mạng trên toàn cầu”.
Giờ đây, cùng một nhóm đã quay trở lại với một dòng Bandook mới, với những nỗ lực bổ sung để ngăn chặn việc phát hiện và phân tích, theo Nghiên cứu Điểm kiểm tra.
Một chuỗi lây nhiễm ba giai đoạn
Chuỗi lây nhiễm là một quá trình ba giai đoạn bắt đầu với một tài liệu Microsoft Word thu hút (ví dụ: “Certified document.docx”) được phân phối bên trong tệp ZIP, khi mở ra, tải xuống các macro độc hại, sau đó sẽ tiếp tục thả và thực thi một- Giai đoạn tập lệnh PowerShell được mã hóa bên trong tài liệu Word gốc.
Trong giai đoạn cuối của cuộc tấn công, tập lệnh PowerShell này được sử dụng để tải xuống các phần thực thi được mã hóa từ các dịch vụ lưu trữ đám mây như Dropbox hoặc Bitbucket nhằm lắp ráp bộ tải Bandook, sau đó sẽ chịu trách nhiệm đưa RAT vào quy trình Internet Explorer mới.
Bandook RAT – có sẵn trên thị trường bắt đầu từ năm 2007 – đi kèm với tất cả các khả năng thường được liên kết với backdoor trong đó nó thiết lập liên lạc với máy chủ được điều khiển từ xa để nhận các lệnh bổ sung khác nhau, từ chụp ảnh màn hình đến thực hiện các hoạt động liên quan đến tệp khác nhau.
Nhưng theo công ty an ninh mạng, biến thể mới của Bandook là phiên bản thu gọn của phần mềm độc hại chỉ hỗ trợ 11 lệnh, trong khi các phiên bản trước đó được biết là có tới 120 lệnh, cho thấy mong muốn của các nhà khai thác để giảm thiểu phần mềm độc hại. dấu chân và tránh bị phát hiện chống lại các mục tiêu cấu hình cao.
Đó chưa phải là tất cả. Không chỉ các chứng chỉ hợp lệ do Certum cấp được sử dụng để ký vào phiên bản thực thi phần mềm độc hại đã được cắt bớt này, các nhà nghiên cứu của Check Point đã phát hiện thêm hai mẫu nữa – các biến thể có chữ ký kỹ thuật số và không có chữ ký chính thức – mà họ tin rằng được vận hành và bán bởi một thực thể duy nhất.
“Mặc dù không có khả năng và cũng không được thực hành trong bảo mật hoạt động như một số công ty bảo mật tấn công khác, nhưng nhóm đứng sau cơ sở hạ tầng trong các cuộc tấn công này dường như được cải thiện theo thời gian, bổ sung một số lớp bảo mật, chứng chỉ hợp lệ và các kỹ thuật khác, để cản trở việc phát hiện và phân tích các hoạt động của nó, “các nhà nghiên cứu kết luận.
