Theo các nhà nghiên cứu của Trend Micro đang thực hiện theo dõi hoạt động của nhóm tin tặc thì chiến dịch này đã được tiến hành từ đầu năm 2022 và tập trung chủ yếu vào các tổ chức chính phủ. Trong số các tổ chức mà nhóm tin tặc này tấn công, chúng đã thực hiện xâm phạm 48 tổ chức của chính phủ, trong đó có 10 tổ chức là Bộ Ngoại giao và nhắm mục tiêu vào 49 cơ quan chính phủ khác.
Bản đồ nạn nhân (màu đỏ) và mục tiêu (màu vàng) của nhóm tin tặc Earth Krahang
Nhóm tin tặc này đã thực hiện khai thác các máy chủ kết nối Internet dễ bị tấn công và sử dụng các email lừa đảo trực tuyến để triển khai các backdoor tùy chỉnh cho hoạt động gián điệp mạng.
Earth Krahang lợi dụng việc xâm nhập thành công trên cơ sở hạ tầng của chính phủ bị vi phạm để tấn công các chính phủ khác, xây dựng máy chủ VPN trên các hệ thống bị xâm nhập và thực hiện hành vi bẻ khóa mật khẩu đối với các tài khoản email có giá trị.
Nhóm tin tặc sử dụng các công cụ mã nguồn mở để quét các máy chủ công khai nhằm tìm các lỗ hổng cụ thể, chẳng hạn như CVE-2023-32315 (Openfire) và CVE-2022-21587 (Control Web Panel).
Bằng cách khai thác những lỗ hổng này, chúng triển khai các webshell để có được quyền truy cập trái phép và thiết lập quyền kiểm soát trong mạng nạn nhân. Ngoài ra, chúng còn sử dụng lừa đảo trực tuyến làm phương tiện truy cập ban đầu, với các tin nhắn có chủ đề xoay quanh vấn đề địa chính trị để dụ người nhận mở tệp đính kèm hoặc nhấp vào liên kết độc hại.
Khi thực hiện xâm nhập thành công vào hệ thống mạng mục tiêu, Earth Krahang sử dụng cơ sở hạ tầng của nạn nhân để lưu trữ các tải trọng độc hại, lưu lượng tấn công proxy và sử dụng các tài khoản email chính phủ đã bị tấn công để nhắm mục tiêu vào các tài khoản cùng tổ chức hoặc các chính phủ khác bằng các email lừa đảo trực tuyến.
Báo cáo của Trend Micro cho biết: “Chúng tôi nhận thấy rằng Earth Krahang sử dụng hàng trăm địa chỉ email từ mục tiêu của họ trong giai đoạn trinh sát. Trong một trường hợp, kẻ tấn công đã sử dụng hộp thư bị xâm nhập từ một cơ quan chính phủ để gửi tệp đính kèm độc hại tới 796 địa chỉ email thuộc cùng cơ quan đó”.
Tập lệnh được sử dụng để gửi email từ tài khoản bị xâm nhập
Những email này chứa các tệp đính kèm độc hại tạo ra các backdoor xâm nhập vào máy tính của nạn nhân, lây lan sự lây nhiễm và tránh bị phát hiện. Trend Micro cho biết những kẻ tấn công sử dụng các tài khoản Outlook bị xâm nhập để thực hiện đăng nhập Exchange và các tập lệnh Python chuyên lấy cắp email từ máy chủ Zimbra cũng bị phát hiện.
Tập lệnh Python để thu thập dữ liệu email
Nhóm tin tặc cũng xây dựng các máy chủ VPN trên các máy chủ bị xâm nhập bằng cách sử dụng SoftEtherVPN để thiết lập quyền truy cập vào mạng riêng của nạn nhân và nâng cao khả năng di chuyển ngang trong các mạng đó. Sau khi thiết lập sự hiện diện của mình trên mạng, Eath Krahang triển khai phần mềm độc hại và các công cụ như Cobalt Strike, RESHELL và XDealer, cung cấp khả năng thực thi lệnh và thu thập dữ liệu.
XDealer là một trong hai backdoor tinh vi và phức tạp vì nó hỗ trợ Linux và Windows, đồng thời có thể chụp ảnh màn hình, ghi lại các lần nhấn phím và chặn dữ liệu clipboard.
Mô hình tổng quan về chuỗi tấn công
Trend Micro cho biết ban đầu họ tìm thấy mối liên hệ giữa Earth Krahang và Earth Lusca, có liên quan đến Trung Quốc, dựa trên sự chồng chéo chỉ huy và kiểm soát (C2), nhưng các chuyên gia cho rằng đây là hai nhóm riêng biệt, có thể cả hai nhóm này đều hoạt động dưới sự chỉ đạo của Trung Quốc và hoạt động như một lực lượng đặc nhiệm chuyên trách gián điệp mạng nhằm vào các cơ quan chính phủ.
Ngoài ra, công cụ RESHELL trước đây đã được liên kết với nhóm Gallium, XDealer và Luoyu. Tuy nhiên, theo Trend Micro cho rằng những công cụ này có thể được chia sẻ giữa các nhóm tin tặc và mỗi nhóm sẽ sử dụng một khóa mã hóa riêng biệt.
Mỹ Dung
14:00 | 05/03/2024
09:00 | 06/03/2024
10:00 | 21/02/2024
09:00 | 01/04/2024
13:00 | 28/08/2024
Ngày 21/8, công ty dịch vụ dầu khí hàng dầu Mỹ Halliburton bị tấn công mạng, gây ảnh hưởng tới hoạt động kinh doanh và một số mạng kết nối toàn cầu.
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
16:00 | 21/05/2024
Đầu tháng 5, một nhóm tin tặc đã công khai trên dark web dữ liệu chứa lượng lớn thông tin bệnh nhân và đội ngũ nhân viên tại bệnh viện NHS Dumfries & Galloway thuộc Scotland (Anh) sau một cuộc tấn công mạng vào đầu tháng 3.
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024