Một diễn viên đe dọa mới nổi ra khỏi Trung Quốc đã bị truy tìm một chiến dịch hack mới nhằm vào các cơ quan chính phủ ở Ấn Độ và cư dân Hồng Kông có ý định đánh cắp thông tin nhạy cảm, công ty an ninh mạng Malwarebytes tiết lộ trong báo cáo mới nhất được chia sẻ với The Hacker News.
Các cuộc tấn công đã được quan sát trong tuần đầu tiên của tháng 7, trùng với thời điểm luật an ninh gây tranh cãi tại Hồng Kông và Ấn Độ cấm 59 ứng dụng do Trung Quốc sản xuất vì lo ngại về quyền riêng tư, vài tuần sau khi cuộc giao tranh bạo lực dọc biên giới Ấn-Trung.
Góp phần vào cuộc tấn công với “sự tự tin vừa phải” đối với một nhóm APT mới của Trung Quốc, Malwarebytes cho biết họ có thể theo dõi các hoạt động của mình dựa trên “các nỗ lực lừa đảo độc nhất” được thiết kế để thỏa hiệp các mục tiêu ở Ấn Độ và Hồng Kông.
Các nhà điều hành của nhóm APT đã tận dụng ít nhất ba Chiến thuật, Kỹ thuật và Quy trình (TTP) khác nhau, sử dụng email lừa đảo để loại bỏ các biến thể của phần mềm độc hại Cobalt Strike và MgBot và giả mạo các ứng dụng Android để thu thập các bản ghi cuộc gọi, danh bạ và SMS tin nhắn.
“Các mồi nhử được sử dụng trong chiến dịch này cho thấy rằng tác nhân đe dọa có thể nhắm vào chính phủ và cá nhân Ấn Độ ở Hồng Kông, hoặc ít nhất là những người chống lại luật an ninh mới do Trung Quốc ban hành”, hãng này nói.
Sử dụng Spear-Phishing để cài đặt phần mềm độc hại MgBot
Biến thể đầu tiên, được quan sát vào ngày 2 tháng 7, đã cảnh báo người nhận với tên miền “gov.in” nói rằng một số địa chỉ email của họ đã bị rò rỉ và họ phải hoàn thành kiểm tra bảo mật trước ngày 5 tháng 7.
Các email được đính kèm với “Kiểm tra bảo mật thư.docx” có chủ đích từ Trung tâm bảo mật thông tin của chính phủ Ấn Độ. Khi mở, nó sử dụng tiêm mẫu để tải xuống một mẫu từ xa và thực hiện một biến thể bị che khuất nặng nề của Cobalt Strike.
Nhưng một ngày sau vụ tấn công nói trên, các nhà khai thác đã hoán đổi tải trọng Cobalt Strike độc hại cho một phiên bản cập nhật của phần mềm độc hại MgBot.
Và trong phiên bản thứ ba được thấy trong tự nhiên vào ngày 5 tháng 7, các nhà nghiên cứu đã quan sát APT bằng cách sử dụng một tài liệu nhúng hoàn toàn khác với tuyên bố về Hồng Kông từ Thủ tướng Anh, ông Vladimir Johnson, được cho là hứa sẽ kết nạp ba triệu người Hồng Kông vào nước này.
Các lệnh độc hại để tải xuống và thả trình tải – được mã hóa trong tài liệu – được thực thi bằng cách sử dụng trao đổi dữ liệu động (DDE) giao thức, một hệ thống truyền thông liên tiến trình cho phép dữ liệu được truyền hoặc chia sẻ giữa các ứng dụng Windows.
Một RAT với một số khả năng
Trình tải bị rớt (“ff.exe”) giả dạng như một công cụ Realtek Audio Manager và chứa bốn tài nguyên được nhúng, hai trong số đó được viết bằng tiếng Trung giản thể.
Điều này, cùng với việc sử dụng DDE và tiêm mẫu, cho thấy chiến dịch có thể là thủ công của một diễn viên đe dọa có trụ sở tại Trung Quốc, được đưa ra lịch sử trước của các cuộc tấn công đã tận dụng các TTP tương tự.
Sau đó, bộ nạp leo thang đặc quyền của nó thông qua một CMSTP bỏ qua trước khi cài đặt tải trọng cuối cùng, đồng thời thực hiện các bước để tránh bị trình gỡ lỗi và phần mềm bảo mật phát hiện.
Để ngăn chặn phân tích tĩnh, “mã tự sửa đổi, có nghĩa là nó thay đổi các phần mã của nó trong thời gian chạy”, các nhà nghiên cứu cho biết.
“Nó sử dụng các lệnh gọi API ‘GetTickCount’ và ‘QueryPerformanceCorer’ để phát hiện môi trường trình gỡ lỗi. Để phát hiện nếu nó đang chạy trong môi trường ảo, nó sử dụng các hướng dẫn phát hiện chống vm như ‘sldt’ và ‘cpid’ có thể cung cấp thông tin về bộ xử lý và cũng kiểm tra các cổng IO của Vmware (VMXH). “
Cuối cùng, đây là phần mềm độc hại cuối cùng có thể thực thi được (“pMsrvd.dll”) được sử dụng để thực hiện các hoạt động độc hại, được thực hiện bằng cách đóng vai trò là “Ứng dụng máy tính để bàn nhóm video”.
Trojan quản trị từ xa (RAT) không chỉ có khả năng thiết lập kết nối với máy chủ chỉ huy và điều khiển từ xa (C2) ở Hồng Kông, nó còn có khả năng chụp phím, chụp màn hình và quản lý tệp và quy trình.
Hơn nữa, các nhà nghiên cứu cũng tìm thấy một số ứng dụng Android độc hại như một phần của bộ công cụ của nhóm được trang bị các tính năng RAT, như ghi âm và màn hình và các chức năng để định vị vị trí của điện thoại và làm lộ danh bạ, nhật ký cuộc gọi, SMS và lịch sử web.
Thật thú vị, có vẻ như nhóm APT Trung Quốc mới này đã hoạt động ít nhất kể từ năm 2014, với các TTP được liên kết với ít nhất ba cuộc tấn công khác nhau trong 2014, 2018và Tháng 3 năm 2020. Trong tất cả các chiến dịch của họ, nam diễn viên đã sử dụng một biến thể của MgBot để đáp ứng các mục tiêu của nó.
