Tin tặc Trung Quốc cập nhật công cụ, tấn công Campuchia

06/09/2017 09:58:32

Các nhà nghiên cứu tại hãng bảo mật Palo Alto Networks cảnh báo, cửa hậu KHRAT, có liên quan đến chiến dịch gián điệp mạng DragonOK nghi ngờ do Trung Quốc phát động, đã được cập nhật và tấn công vào các mục tiêu tại Campuchia.

DragonOK được biết đến là từng sử dụng các mã độc như NetTraveler (hay TravNet), PlugX, Saker, Netbot, DarkStRat, và ZeroT trong các cuộc tấn công nhắm vào các tổ chức tại Nga và một số quốc gia khác.

KHRAT có khả năng truy cập từ xa vào hệ thống của nạn nhân, ghi thao tác bàn phím, chụp ảnh màn hình, truy cập shell từ xa…

Tài liệu mồi nhử đề cập đến Dự án Quản lý tổng hợp tài nguyên nước Mekong

Mới đây, các nhà nghiên cứu tại Palo Alto Networks quan sát thấy, các tác giả mã độc đã cập nhật các kỹ thuật và chủ đề tấn công lừa đảo, triển khai nhiều phương pháp để tải và thực thi các payload bổ sung bằng cách sử dụng các ứng dụng được cài đặt sẵn trên Windows, mở rộng cơ sở hạ tầng bằng cách giả mạo dịch vụ lưu trữ Dropbox.

Việc sử dụng KHRAT đã tăng lên trong những tháng gần đây. Cuộc tấn công vào các mục tiêu tại Campuchia được phát hiện vào tháng 06/2017 khi các nhà nghiên cứu bắt gặp một tài liệu Word độc hại được thiết kế để liên kết với một máy chủ được cho là thuộc về Dropbox.

Bên cạnh việc che giấu lưu lượng mạng, tài liệu này còn sử dụng từ viết tắt MIWRMP, đề cập đến Dự án Quản lý tổng hợp tài nguyên nước Mekong, một dự án trị giá hàng triệu USD liên quan đến việc quản lý nguồn nước và việc đánh bắt thủy sản ở vùng Đông Bắc Campuchia.

Tài liệu nhắc nhở người dùng bật macro, cho phép mã VBA chạy và thực hiện các hoạt động độc hại, bao gồm tạo các tác vụ được lập lịch trình và yêu cầu các chức năng chạy Javascript.

Các nhà nghiên cứu cũng liên kết tài liệu này với tên miền update.upload-dropbox[.]com được host trên một trang web của Chính phủ Campuchia đã bị tấn công. Mẫu lấy từ các máy chủ của chính phủ sẽ chạy chương trình regsvr32.exe trong một nỗ lực vượt qua các biện pháp bảo vệ của Windows.

Một thành phần khác tải một tập tin .ico để tạo 3 tác vụ được lập lịch trình và sử dụng regsvr32.exe để tải và thực thi 3 tập tin .ico khác. Một thành phần DLL cũng liên quan đến chiến dịch này nhưng không được tải và thực thi, các nhà nghiên cứu cho hay.

Trong khi điều tra về mã dropper KHRAT, các nhà nghiên cứu bắt gặp mã JavaScript cho phép giám sát những người ghé thăm trang web. Mã này có thể thu thập các dữ liệu như user-agent, tên miền, cookie, referrer và phiên bản Flash. Mã này rất giống với mã được tìm thấy trên một trang blog được host trên trang web của Mạng lưới các Nhà phát triển Phần mềm Trung Quốc (CSDN).

“Chiến dịch nàycho thấy rõ các kỹ thuật xã hội được sử dụng đề cập đến các hoạt động mang tính quốc gia, có khả năng được lưu ý trong tâm trí người dân cũng như sử dụng nhiều kỹ thuật trong Windows để tải và thực thi các payload độc hại bằng cách sử dụng các ứng dụng được cài đặt sẵn để không thu hút sự chú ý. Đây là một sự thay đổi với các biến thể trước đó”, Palo Alto nhận định.

Các nhà nghiên cứu kết luận, những kẻ đứng sau KHRAT đã cập nhật cả mã độc và thủ thuật, kỹ thuật và quy trình (TTP) của chúng trong năm 2017. Những thay đổi này giúp những kẻ tấn công tiến hành các cuộc tấn công thành công hơn.

“Các hành động đáng chú ý khác của tin tặc bao gồm cơ sở hạ tầng được cập nhật giả mạo Dropbox, giả mạo lưu lượng dưới tên của các ứng dụng khác để giao tiếp với các cơ sở hạ tầng tấn công, một số trong đó bao gồm các máy chủ đã bị tấn công của Chính phủ Campuchia”, các nhà nghiên cứu kết luận.


Thiên Hậu (dịch từ Securityweek )