Một tác nhân đe dọa liên tục nâng cao (APT) đã được theo dõi trong một chiến dịch mới triển khai phần mềm độc hại Android thông qua Cổng thông tin điện tử của Chính phủ Syria, cho thấy một kho vũ khí được nâng cấp được thiết kế để xâm phạm nạn nhân.
Các nhà nghiên cứu Zhengyu Dong, Fyodor Yarochkin và Steven Du của Trend Micro: “Theo hiểu biết của chúng tôi, đây là lần đầu tiên nhóm này bị công khai sử dụng các ứng dụng Android độc hại như một phần của các cuộc tấn công. nói trong một bài viết kỹ thuật được xuất bản hôm thứ Tư.
StrongPity, cũng có tên mã Promethium của Microsoft, được cho là đã hoạt động từ năm 2002 và thường tập trung vào các mục tiêu trên khắp Thổ Nhĩ Kỳ và Syria. Vào tháng 6 năm 2020, kẻ đe dọa gián điệp đã kết nối làn sóng các hoạt động tấn công lỗ hổng và trình cài đặt giả mạo, lạm dụng sự phổ biến của các ứng dụng hợp pháp, để lây nhiễm phần mềm độc hại cho các mục tiêu.
“Promethium đã kiên cường trong những năm qua”, Cisco Talos tiết lộ năm ngoái. “Các chiến dịch của nhóm đã bị phanh phui nhiều lần, nhưng điều đó không đủ để khiến các tác nhân đứng sau khiến họ dừng lại. Việc nhóm không kiềm chế khởi động các chiến dịch mới ngay cả khi đã bị lộ cho thấy quyết tâm hoàn thành nhiệm vụ của họ.”
Hoạt động mới nhất không khác ở chỗ nó nhấn mạnh xu hướng của kẻ đe dọa là đóng gói lại các ứng dụng lành tính thành các biến thể trojanized để tạo điều kiện cho các cuộc tấn công.
Phần mềm độc hại, giả danh là ứng dụng Android e-Gov của Syria, được cho là đã được tạo vào tháng 5 năm 2021, với tệp kê khai của ứng dụng (“AndroidManifest.xml“) được sửa đổi để yêu cầu rõ ràng các quyền bổ sung trên điện thoại, bao gồm khả năng đọc danh bạ, ghi vào bộ nhớ ngoài, giữ cho thiết bị luôn hoạt động, truy cập thông tin về mạng di động và Wi-Fi, vị trí chính xác và thậm chí cho phép ứng dụng tự có bắt đầu ngay sau khi hệ thống khởi động xong.
Ngoài ra, ứng dụng độc hại được thiết kế để thực hiện các tác vụ chạy dài trong nền và kích hoạt yêu cầu đến máy chủ điều khiển và kiểm soát từ xa (C2), máy chủ này sẽ phản hồi lại bằng một trọng tải được mã hóa có chứa tệp cài đặt cho phép “phần mềm độc hại thay đổi hành vi của nó theo cấu hình “và cập nhật địa chỉ máy chủ C2 của nó.
Cuối cùng nhưng không kém phần quan trọng, bộ cấy “mô-đun cao” có khả năng lưu trữ dữ liệu được lưu trữ trên thiết bị bị nhiễm, chẳng hạn như danh bạ, tài liệu Word và Excel, PDF, hình ảnh, khóa bảo mật và các tệp được lưu bằng Dagesh Pro Word Processor (.DGS ), trong số những người khác, tất cả đều được trích xuất trở lại máy chủ C2.
Mặc dù không có báo cáo công khai nào về việc StrongPity sử dụng các ứng dụng Android độc hại trong các cuộc tấn công của họ, nhưng việc Trend Micro quy kết đối thủ bắt nguồn từ việc sử dụng máy chủ C2 trước đây đã được sử dụng trong các cuộc xâm nhập liên kết với nhóm hack, đáng chú ý là chiến dịch phần mềm độc hại được ghi lại bởi Alien Labs của AT&T vào tháng 7 năm 2019 rằng đã tận dụng các phiên bản bị ô nhiễm của phần mềm quản lý bộ định tuyến WinBox, WinRAR và các tiện ích đáng tin cậy khác để vi phạm mục tiêu.
Các nhà nghiên cứu cho biết: “Chúng tôi tin rằng kẻ gây ra mối đe dọa đang khám phá nhiều cách để cung cấp ứng dụng cho các nạn nhân tiềm năng, chẳng hạn như sử dụng các ứng dụng giả mạo và sử dụng các trang web bị xâm nhập làm lỗ hổng để lừa người dùng cài đặt các ứng dụng độc hại,” các nhà nghiên cứu cho biết.
“Thông thường, các trang web này sẽ yêu cầu người dùng tải ứng dụng trực tiếp xuống thiết bị của họ. Để làm như vậy, những người dùng này sẽ được yêu cầu bật cài đặt ứng dụng từ ‘nguồn không xác định’ trên thiết bị của họ. Điều này bỏ qua ‘trust- chuỗi ‘của hệ sinh thái Android và khiến kẻ tấn công dễ dàng cung cấp các thành phần độc hại bổ sung “, họ nói thêm.
