Các nhà nghiên cứu an ninh mạng hôm thứ Ba đã phát hiện ra một chiến dịch gián điệp mới nhắm mục tiêu vào các lĩnh vực truyền thông, xây dựng, kỹ thuật, điện tử và tài chính ở Nhật Bản, Đài Loan, Hoa Kỳ và Trung Quốc.
Liên kết các cuộc tấn công với Palmerworm (hay còn gọi là BlackTech) – có thể là một Trụ sở tại Trung Quốc mối đe dọa dai dẳng nâng cao (APT) – Nhóm Thợ săn Đe dọa của Symantec nói làn sóng hoạt động đầu tiên liên quan đến chiến dịch này đã bắt đầu vào năm ngoái vào tháng 8 năm 2019, mặc dù động cơ cuối cùng của họ vẫn chưa rõ ràng.
Công ty an ninh mạng cho biết: “Mặc dù chúng tôi không thể thấy Palmerworm đang tấn công những gì từ những nạn nhân này, nhưng nhóm này được coi là một nhóm gián điệp và động cơ có thể được coi là đánh cắp thông tin từ các công ty mục tiêu”.
Trong số nhiều nạn nhân bị nhiễm bệnh do Palmerworm, các công ty truyền thông, điện tử và tài chính đều có trụ sở tại Đài Loan, trong khi một công ty kỹ thuật ở Nhật Bản và một công ty xây dựng ở Trung Quốc cũng bị nhắm tới.
Ngoài việc sử dụng phần mềm độc hại tùy chỉnh để xâm phạm các tổ chức, nhóm này được cho là vẫn hoạt động trên mạng của công ty truyền thông Đài Loan trong một năm, với các dấu hiệu hoạt động được quan sát gần đây vào tháng 8 năm 2020, có khả năng ám chỉ sự quan tâm tiếp tục của Trung Quốc đối với Đài Loan.
Đây không phải là lần đầu tiên băng nhóm BlackTech hoạt động kinh doanh ở Đông Á. Một phân tích năm 2017 bởi Xu hướng micro phát hiện nhóm đã tổ chức ba chiến dịch – PLEAD, Shrocted Crossbow và Waterbear – với ý định đánh cắp tài liệu mật và tài sản trí tuệ của mục tiêu.
Nói rằng một số mẫu phần mềm độc hại được xác định phù hợp với PLEAD, các nhà nghiên cứu cho biết họ đã xác định được bốn cửa hậu không có giấy tờ trước đây (Backdoor.Consock, Backdoor.Waship, Backdoor.Dalwit và Backdoor.Nomri), cho thấy “chúng có thể là những công cụ mới được phát triển, hoặc sự phát triển của các công cụ Palmerworm cũ hơn. “
Chỉ riêng bộ công cụ phần mềm độc hại tùy chỉnh hoàn toàn mới đã gây khó khăn cho việc phân bổ nếu không sử dụng các công cụ lưỡng dụng (như Putty, PSExec, SNScan và WinRAR) và các chứng chỉ ký mã bị đánh cắp để ký kỹ thuật số các tải trọng độc hại của nó và cản trở phát hiện, một chiến thuật mà nó đã được tìm thấy để sử dụng trước đây.
Một chi tiết khác không quá rõ ràng là chính vector lây nhiễm, phương pháp mà Palmerworm đã sử dụng để truy cập ban đầu vào mạng nạn nhân. Tuy nhiên, nhóm này đã tận dụng các email lừa đảo trực tuyến trong quá khứ để phân phối và cài đặt backdoor của họ, dưới dạng tệp đính kèm hoặc thông qua các liên kết đến các dịch vụ lưu trữ đám mây.
“Các nhóm APT tiếp tục hoạt động mạnh mẽ vào năm 2020, với việc họ sử dụng các công cụ lưỡng dụng và chiến thuật sống xa lạ khiến hoạt động của họ khó bị phát hiện hơn bao giờ hết và nhấn mạnh nhu cầu của khách hàng phải có một giải pháp bảo mật toàn diện Symantec cho biết có thể phát hiện ra loại hoạt động này.
