Ba nhóm hoạt động độc hại khác nhau hoạt động vì lợi ích nhà nước Trung Quốc đã thực hiện một loạt các cuộc tấn công nhằm vào các mạng của ít nhất năm công ty viễn thông lớn đặt tại các quốc gia Đông Nam Á kể từ năm 2017.
“Mục tiêu của những kẻ tấn công đằng sau những cuộc xâm nhập này là giành được và duy trì quyền truy cập liên tục vào các nhà cung cấp dịch vụ viễn thông và tạo điều kiện cho hoạt động gián điệp mạng bằng cách thu thập thông tin nhạy cảm, xâm phạm các tài sản kinh doanh cao cấp như máy chủ thanh toán chứa dữ liệu Bản ghi chi tiết cuộc gọi (CDR), cũng như các thành phần mạng chính như Bộ điều khiển miền, Máy chủ Web và máy chủ Microsoft Exchange, “Cybereason’s Lior Rochberger, Tom Fakterman, Daniel Frank và Assaf Dahan tiết lộ trong một phân tích kỹ thuật được công bố hôm thứ Ba.
Công ty an ninh mạng có trụ sở tại Boston đã liên kết các chiến dịch với ba tác nhân đe dọa khác nhau của Trung Quốc, đó là Gali (hay còn gọi là Tế bào mềm), Naikon APT (hay còn gọi là APT30 hoặc Lotus Panda) và TG-3390 (hay còn gọi là APT27 hoặc Emissary Panda).
Hoạt động xung quanh cụm sau của ba cụm bắt đầu vào năm 2017, trong khi các cuộc tấn công liên quan đến Gallium lần đầu tiên được quan sát thấy vào quý 4 năm 2020, với nhóm Naikon nhảy vào băng khai thác lần cuối vào quý 4 năm 2020. Cả ba hoạt động gián điệp được cho là đã tiếp tục tất cả đến giữa năm 2021.
Gọi những kẻ tấn công là “thích ứng cao”, các nhà nghiên cứu kêu gọi nỗ lực siêng năng của họ để theo dõi và duy trì sự kiên trì trên các điểm cuối bị nhiễm, đồng thời thay đổi chiến thuật và cập nhật các biện pháp phòng thủ của họ để thỏa hiệp và mở cửa hậu máy chủ email Microsoft Exchange chưa được vá bằng cách sử dụng khai thác ProxyLogon đã được đưa ra ánh sáng vào đầu tháng Ba này.
Các nhà nghiên cứu lưu ý: “Mỗi giai đoạn của hoạt động thể hiện sự thích nghi của những kẻ tấn công trong cách họ phản ứng với các nỗ lực giảm thiểu khác nhau, thay đổi cơ sở hạ tầng, bộ công cụ và kỹ thuật trong khi cố gắng trở nên lén lút hơn”, các nhà nghiên cứu lưu ý.
Mặt khác, Naikon được phát hiện sử dụng một cửa hậu có tên là “Nebulae” cũng như một keylogger không có giấy tờ trước đây có tên là “EnrollLoger” trên các nội dung cao cấp được chọn. Cần chỉ ra rằng Việc sử dụng Tinh vân của Naikon lần đầu tiên xuất hiện vào tháng 4 năm 2021 khi kẻ thù được cho là đứng sau một chiến dịch gián điệp mạng trên diện rộng nhắm vào các tổ chức quân sự ở Đông Nam Á.
Bất kể chuỗi tấn công là gì, một thỏa hiệp thành công sẽ kích hoạt một chuỗi các bước, cho phép các tác nhân đe dọa thực hiện trinh sát mạng, đánh cắp thông tin xác thực, di chuyển bên và xâm nhập dữ liệu.
Cụm Emissary Panda là cụm lâu đời nhất trong ba cụm, chủ yếu liên quan đến việc triển khai cửa hậu OWA (Outlook Web Access) dựa trên .NET tùy chỉnh, được sử dụng để lấy cắp thông tin đăng nhập của người dùng đăng nhập vào các dịch vụ OWA của Microsoft, cấp cho những kẻ tấn công khả năng tiếp cận môi trường một cách lén lút.
Cũng cần lưu ý là sự chồng chéo giữa các nhóm về mặt nạn nhân và việc sử dụng các công cụ chung như Mimikatz, với ba nhóm được phát hiện trong cùng một môi trường mục tiêu, trong cùng khung thời gian và thậm chí trên cùng hệ thống.
“Tại thời điểm này, không có đủ thông tin để xác định một cách chắc chắn bản chất của sự chồng chéo này – cụ thể là, liệu các cụm này có đại diện cho công việc của ba tác nhân đe dọa khác nhau làm việc độc lập hay không, hay liệu các cụm này đại diện cho công việc của ba nhóm khác nhau hoạt động thay mặt của một tác nhân đe dọa duy nhất, “các nhà nghiên cứu cho biết.
“Giả thuyết thứ hai là có hai hoặc nhiều tác nhân đe dọa Trung Quốc với các chương trình / nhiệm vụ khác nhau nhận thức được công việc của nhau và thậm chí có khả năng làm việc song song.”
