Các nhà nghiên cứu an ninh mạng hôm nay đã tiết lộ một cuộc tấn công gián điệp phức tạp và có chủ đích nhằm vào các nạn nhân tiềm năng của khu vực chính phủ ở Đông Nam Á mà họ tin rằng đã được thực hiện bởi một nhóm APT tinh vi của Trung Quốc ít nhất là kể từ năm 2018.
Bitdefender cho biết trong một phân tích mới được chia sẻ với The Hacker News: “Cuộc tấn công có một kho vũ khí phức tạp và hoàn chỉnh gồm các ống nhỏ giọt, cửa hậu và các công cụ khác liên quan đến cửa hậu Chinoxy, PcShare RAT và FunnyDream, với các đồ tạo tác pháp y hướng đến một diễn viên Trung Quốc tinh vi”, Bitdefender cho biết trong một phân tích mới được chia sẻ với The Hacker News.
Cần lưu ý rằng FunnyDream Chiến dịch này trước đây đã được liên kết với các tổ chức chính phủ cấp cao ở Malaysia, Đài Loan và Philippines, với phần lớn nạn nhân là ở Việt Nam.
Theo các nhà nghiên cứu, không chỉ có khoảng 200 máy có các chỉ số tấn công liên quan đến chiến dịch, bằng chứng chỉ ra thực tế là kẻ đe dọa có thể đã xâm phạm bộ điều khiển miền trên mạng của nạn nhân, cho phép họ di chuyển theo chiều ngang và có khả năng giành quyền kiểm soát các hệ thống khác.
Nghiên cứu đã mang lại rất ít hoặc không có manh mối về cách thức lây nhiễm xảy ra, mặc dù người ta nghi ngờ rằng những kẻ tấn công đã sử dụng kỹ thuật xã hội để lừa người dùng không cố ý mở các tệp độc hại.
Sau khi đạt được chỗ đứng ban đầu, nhiều công cụ được phát hiện đã được triển khai trên hệ thống bị nhiễm, bao gồm Cửa hậu Chinoxy để đạt được sự bền bỉ cũng như Trojan truy cập từ xa của Trung Quốc (RAT) được gọi là PcShare, một biến thể được sửa đổi của cùng một công cụ có sẵn trên GitHub.
Bên cạnh việc sử dụng các tiện ích dòng lệnh như tasklist.exe, ipconfig.exe, systeminfo.exe và netstat để thu thập thông tin hệ thống, một số tiện ích khác – ccf32, FilePak, FilePakMonitor, ScreenCap, Keyrecord và TcpBridge – đã được cài đặt để thu thập tệp , chụp ảnh màn hình, ghi nhật ký các lần nhấn phím và chuyển thông tin thu thập được đến máy chủ do kẻ tấn công kiểm soát.
Cuộc điều tra cũng phát hiện ra việc sử dụng cửa hậu FunnyDream nói trên bắt đầu từ tháng 5 năm 2019, đi kèm với nhiều khả năng tích lũy dữ liệu người dùng, xóa dấu vết triển khai phần mềm độc hại, cản trở việc phát hiện và thực hiện các lệnh độc hại, kết quả của chúng được truyền trở lại lệnh-và – máy chủ điều khiển (C&C) đặt tại Hồng Kông, Trung Quốc, Hàn Quốc và Việt Nam.
“Việc phân bổ các cuộc tấn công theo kiểu APT cho một nhóm hoặc quốc gia cụ thể có thể cực kỳ khó khăn, chủ yếu là do các đồ tạo tác pháp y đôi khi có thể được cố ý trồng, cơ sở hạ tầng C&C có thể nằm ở bất kỳ đâu trên thế giới và các công cụ được sử dụng có thể được thay thế từ các nhóm APT khác”, các nhà nghiên cứu đã kết luận.
“Trong quá trình phân tích này, một số hiện vật pháp y dường như gợi ý về một nhóm APT nói tiếng Trung Quốc, vì một số tài nguyên được tìm thấy trong một số mã nhị phân có ngôn ngữ được đặt thành tiếng Trung Quốc và cửa hậu Chinoxy được sử dụng trong chiến dịch là một Trojan được biết là đã được sử dụng bởi những kẻ đe dọa nói tiếng Trung Quốc. “
