Tổng quan
Các nhà nghiên cứu của nhóm Unit 42 đến từ hãng bảo mật Palo Alto Networks đã quan sát ba của Stately Taurus trong tháng 8/2023. Các chiến dịch này được đánh giá là nhằm vào các thực thể ở Nam Thái Bình Dương, trong đó phần lớn mục tiêu là các cơ quan thuộc Chính phủ Philippines. Các tin tặc đã lạm dụng phần mềm hợp pháp Solid PDF Creator và SmadavProtect (một giải pháp chống virus của Indonesia) để tải các tệp độc hại.
Việc sử dụng SmadavProtect là một chiến thuật đã được Stately Taurus áp dụng trong những tháng gần đây, chúng đã triển khai phần mềm độc hại được thiết kế đặc biệt để vượt qua các giải pháp bảo mật.
Bên cạnh đó, các tin tặc cũng đã cấu hình phần mềm độc hại một cách đặc biệt để mạo danh lưu lượng truy cập hợp pháp của cho các kết nối đến máy chủ chỉ huy và kiểm soát (C2).
Stately Taurus (hay còn gọi là Mustang Panda, Bronze President, Red Delta, Luminous Moth, Earth Preta và Camaro Dragon) đã hoạt động ít nhất từ năm 2012. Đây là nhóm tin tặc APT của Trung Quốc thường xuyên thực hiện các chiến dịch . Nhóm này trước đây đã nhắm mục tiêu vào các tổ chức chính phủ và phi lợi nhuận, cũng như các tổ chức tôn giáo tại Bắc Mỹ, châu Âu và châu Á.
Chiến dịch 1
Chiến dịch đầu tiên được phát hiện vào ngày 01/8/2023, khi các nhà nghiên cứu Unit 42 xác định phần mềm độc hại Stately Taurus được lưu trữ để tải xuống trên . Các tin tặc đã cấu hình phần mềm độc hại này dưới dạng tệp có tên “230728 meeting minutes.zip”.
Hình 1. Nội dung kho lưu trữ ZIP độc hại trong chiến dịch 1
Theo mặc định, nạn nhân nhìn thấy một ứng dụng hiển thị như trên Hình 1 (20230728 meeting minutes.exe) có chứa biểu tượng PDF. Trên thực tế, tệp này là bản sao hợp pháp của phần mềm Solid PDF Creator đã được đổi tên. Tuy nhiên, điều mà nạn nhân không nhìn thấy là thư mục này chứa tệp ẩn thứ hai có tên SolidPDFCreator.dll.
Bất kỳ nỗ lực nào để thực thi phần mềm Solid PDF Creator hợp pháp sẽ dẫn đến việc thực thi DLL sideloading độc hại có trong cùng một thư mục. Sau khi được tải, DLL độc hại sẽ thiết lập kết nối với địa chỉ IP 45[.]121[.]146[.]113 để tạo điều kiện thuận lợi cho các lệnh C2. Các nhà nghiên cứu đánh giá rằng một tổ chức có liên quan đến Chính phủ Philippines là nạn nhân trong chiến dịch lần này.
Chiến dịch 2
Sau đó, Unit 42 đã xác định được chiến dịch Stately Taurus thứ hai vào ngày 03/8/2023. Phần mềm độc hại này được cấu hình dưới dạng tệp ZIP có tên là “NUG’s Foreign Policy Strategy.zip”.
Trong trường hợp này, từ viết tắt “NUG” được cho là nhắc đến phe đối lập tại Myanmar là “Chính phủ thống nhất quốc gia Myanmar”. Khi giải nén kho lưu trữ này, nạn nhân sẽ thấy một chế độ xem tương tự như chiến dịch đầu tiên, được hiển thị trong Hình 2.
Hình 2. Nội dung kho lưu trữ ZIP trong chiến dịch 2
Ở đây, chúng ta thấy một bản sao hợp pháp của phần mềm Solid PDF Creator đã được đổi tên thành NUG’s Foreign Policy Strategy.exe. Các nhà nghiên cứu cho biết cũng thấy tệp SolidPDFCreator.dll ẩn được tải khi ứng dụng được khởi chạy. Tuy nhiên, tệp ZIP này cũng chứa các tệp bổ sung ẩn trong đường dẫn: “NUG’s Foreign Policy Strategy\#\#\#\#\#\#\#\#\#\#\#\”.
Sau khi duyệt qua 11 thư mục có tên # , các nhà nghiên cứu đã xác định được ba tệp bổ sung, được hiển thị trong Hình 3.
Hình 3. Nội dung của thư mục #
Về luồng của tiến trình, khi thực thi tệp nhị phân NUG’s Foreign Policy Strategy.exe có thể nhìn thấy tệp SolidPDFCreator.dll. Sau đó, DLL này sao chép ba tệp: errordetails, SmadavProtect32.exe và Smadhook32c.dll vào thư mục chính của nạn nhân và thiết lập Registry tại đường dẫn “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AHealthDB” để gọi tiến trình SmadavProtect32.exe khi một người dùng đăng nhập.
SmadavProtect32.exe là bản sao hợp pháp và lành tính của chương trình chống virus của Indonesia có tên là SmadAV. Khi đăng nhập, SmadavProtect32.exe sẽ tải tệp DLL độc hại (SmadHook32c.dll) và sau đó là phần mềm độc hại errordetails có trong cùng một thư mục. Sau khi chạy, phần mềm độc hại được cấu hình để gọi tới địa chỉ IP 45[.]121[.]146[.]113 để kết nối C2.
Chiến dịch 3
Chiến dịch thứ 3 có cấu trúc giống với chiến dịch đầu tiên và được phát hiện vào ngày 16/8/2023. Tuy nhiên, tên tệp ZIP và EXE là “Labor Statement.zip” thay vì 230728 meeting minutes như ví dụ đầu tiên.
Khi giải nén nội dung của tệp ZIP, nạn nhân sẽ thấy hai tệp. Tệp đầu tiên có tên là Labor Statement.exe, đây là bản sao lành tính của phần mềm Solid PDF Creator. Tệp thứ hai là một tệp DLL độc hại có tên SolidPDFCreator.dll. Sau khi thực thi ứng dụng, DLL độc hại sẽ được tải và nó thiết lập kết nối tới địa chỉ IP 45[.]121[.]146[.]113 cho kết nối C2 giống như hai chiến dịch trước đó.
Cơ sở hạ tầng C2
Địa chỉ IP 45[.]121[.]146[.]113 lần đầu tiên được liên kết với Stately Taurus trong một loạt chiến dịch được triển khai vào tháng 6/2023. Các nhà nghiên cứu đánh giá rằng các tin tặc tiếp tục tận dụng cơ sở hạ tầng này trong suốt tháng 8/2023. Tuy nhiên, một khía cạnh thú vị trong hoạt động của C2 là các kẻ tấn công đã cố gắng ngụy trang nó thành lưu lượng truy cập hợp pháp của Microsoft, như trong Hình 4.
Hình 4. Phương thức POST của phần mềm độc hại
Cụ thể, trong phương thức POST, phần mềm độc hại đặt trường Host thành wcpstatic[.]microsoft[.]com mặc dù lưu lượng truy cập được chuyển hướng đến địa chỉ IP ở Malaysia không liên quan đến bất kỳ dịch vụ hợp pháp nào của Microsoft.
Ngoài ra, khi giám sát lưu lượng truy cập liên kết với máy chủ C2, các nhà nghiên cứu đã xác định được nhiều kết nối từ ngày 10/8 đến ngày 15/8/2023, bắt nguồn từ cơ sở hạ tầng của Chính phủ Philippines.
Dựa trên lưu lượng truy cập vào máy chủ C2 độc hại đã biết, Unit 42 đánh giá một cơ quan Chính phủ Philippines có thể đã bị xâm phạm trong các chiến dịch này, ít nhất là trong khoảng thời gian 5 ngày vào tháng 8/2023.
Diễn biến liên quan
Vào cuối tháng 9/2023, Unit 42 cũng cho biết các tác nhân đe dọa đã thực hiện cuộc tấn công nhằm vào một chính phủ giấu tên tại Đông Nam Á để phát tán một biến thể của có tên TONESHELL.
Các chiến dịch mới nhất tận dụng các email lừa đảo trực tuyến để phân phối tệp lưu trữ ZIP độc hại chứa tệp DLL lừa đảo được khởi chạy bằng kỹ thuật có tên DLL side-loading. DLL sau đó sẽ thiết lập liên lạc với một máy chủ từ xa.
Tiết lộ này được đưa ra khi một nhóm APT đến từ Hàn Quốc là Higaisa đã bị phát hiện nhắm mục tiêu vào người dùng Trung Quốc thông qua các trang web lừa đảo mạo danh các ứng dụng phần mềm nổi tiếng như OpenVPN.
Công ty giải pháp bảo mật Cyble cho biết vào cuối tháng trước: “Sau khi được thực thi, trình cài đặt sẽ nhúng và chạy phần mềm độc hại dựa trên Rust trên hệ thống, sau đó kích hoạt shellcode. Nó thực hiện các hoạt động chống gỡ lỗi và giải mã. Sau đó, thiết lập liên lạc với máy chủ C2 được mã hóa với tác nhân đe dọa từ xa”.
Kết luận
Trong tháng 8/2023, các thành viên của Stately Taurus đã phát động ít nhất ba chiến dịch nhắm vào các thực thể ở Nam Thái Bình Dương. Các nhà nghiên cứu cho biết ít nhất một trong những chiến dịch này nhắm trực tiếp vào Chính phủ Philippines.
Theo đánh giá của các nhà nghiên cứu, các tin tặc APT sử dụng kỹ thuật DLL sideloading để phát tán phần mềm độc hại không phải là mới. Tuy nhiên, việc nhóm Stately Taurus tiếp tục sử dụng kỹ thuật này, kết hợp với tỷ lệ phát hiện tối thiểu trên các nền tảng như VirusTotal, chứng tỏ rằng chúng tiếp tục là một công cụ hiệu quả trong các cuộc tấn công mạng của tin tặc.
Stately Taurus tiếp tục chứng tỏ khả năng tiến hành các hoạt động gián điệp mạng liên tục với tư cách là một trong những tác nhân APT tích cực nhất của Trung Quốc. Các hoạt động này nhắm vào nhiều đối tượng mục tiêu khác nhau có liên quan đến những căng thẳng địa chính trị với Trung Quốc.
Hồng Đạt
(Tổng hợp)
10:00 | 22/11/2023
09:00 | 17/09/2024
10:00 | 05/10/2023
17:00 | 08/11/2023
16:00 | 23/10/2024
Sáng ngày 23/10, tại Hà Nội, Hiệp hội An toàn thông tin Việt Nam (VNISA) và Cục An toàn thông tin, Bộ Thông tin và Truyền thông (TT&TT) phối hợp cùng World Vision Việt Nam tổ chức Hội thảo chuyên đề “Bảo đảm an toàn thông tin cho công tác báo chí, truyền thông”.
11:00 | 07/10/2024
Trong 02 ngày 02 - 03/10, tại Hà Nội đã diễn ra Hội thi cán bộ công đoàn giỏi năm 2024 do Ban Cơ yếu Chính phủ tổ chức nhằm khẳng định vị trí, vai trò của cán bộ công đoàn trong cơ quan, đơn vị; thúc đẩy giao lưu, học hỏi kinh nghiệm, tăng cường sự đoàn kết, thống nhất.
13:00 | 30/09/2024
Các chuyên gia an ninh mạng khuyến cáo người dùng TikTok cần hết sức thận trọng trước các tin nhắn mời thử nghiệm phiên bản mới, tránh trở thành nạn nhân của lừa đảo trực tuyến.
08:00 | 05/09/2024
Sau đây là một số dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 05 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.
10:00 | 25/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024
