Hoạt động này được các nhà nghiên cứu của công ty an ninh mạng Securonix (Mỹ) đặt tên là Shrouded Sleep, là một chiến dịch tấn công mạng mới nhất của nhóm tin tặc APT37, nhóm này còn được biết đến với tên gọi khác như InkySquid, Reaper, RedEyes, Ricochet Chollima, Ruby Sleet và ScarCruft.
Theo các nhà nghiên cứu, APT37 trực thuộc Bộ An ninh Nhà nước Triều Tiên (MSS). Giống như các nhóm tin tặc được nhà nước bảo trợ khác, các nhóm tin tặc tới từ Triều Tiên, bao gồm Lazarus Group và Kimsuky, có cách thức hoạt động khác nhau và có thể có các mục tiêu luôn thay đổi dựa trên lợi ích của đất nước.
“Campuchia dường như là mục tiêu chính của chiến dịch Shrouded Sleep, tuy nhiên, nó có thể mở rộng sang các quốc gia Đông Nam Á khác”, Securonix cho biết.
Phần mềm độc hại thường được các tin tặc APT37 sử dụng trong các chiến dịch tấn công mạng là RokRAT (hay còn gọi là Goldbackdoor), mặc dù nhóm này cũng đã phát triển các công cụ tùy chỉnh để tạo điều kiện thu thập thông tin tình báo bí mật.
Hình 1. Cơ chế hoạt động trong chiến dịch Shrouded Sleep
Trong chiến dịch tấn công này, một tệp ZIP chứa tệp Windows shortcut (LNK) được gửi đến mục tiêu. Các nhà nghiên cứu nghi ngờ rằng có khả năng nó liên quan đến việc gửi email lừa đảo.
Backdoor VeilShell cho phép kẻ tấn công truy cập vào máy tính bị xâm nhập, một số tính năng bao gồm đánh cắp dữ liệu, registry và tạo hoặc thao tác tác vụ (task) theo lập lịch.
Tệp LNK sau khi được khởi chạy, hoạt động như một trình dropper, nó có thể kích hoạt việc thực thi mã PowerShell để giải mã và trích xuất các thành phần giai đoạn tiếp theo được nhúng vào trong đó.
Điều này bao gồm một tệp tài liệu mồi nhử vô hại, một tệp Microsoft Excel hoặc một tài liệu PDF được mở tự động, làm người dùng mất tập trung trong khi tệp cấu hình (d[.]exe[.]config) và tệp DLL độc hại (DomainManager[.]dll) được ghi vào thư mục Windows startup.
Hình 2. Tài liệu làm mồi nhử
Cũng được sao chép vào cùng một thư mục là một tệp thực thi hợp lệ có tên “dfsvc[.]exe” liên quan đến công nghệ ClickOnce trong Microsoft .NET Framework. Tệp được sao chép dưới dạng tiến trình “d[.]exe”.
Điểm nổi bật của chuỗi tấn công này là việc sử dụng một kỹ thuật ít được biết đến có tên là “AppDomainManager injection” để thực thi DomainManager[.]dll khi tiến trình d[.]exe được khởi chạy và tệp nhị phân d[.]exe[.]config đi kèm nằm trong cùng thư mục Windows startup.
Điều đáng chú ý là cách tiếp cận này gần đây cũng được nhóm tin tặc Earth Baxia của Trung Quốc sử dụng, cho thấy phương thức tấn công này đang dần được nhiều kẻ tấn công sử dụng như một giải pháp thay thế cho việc tải DLL.
Về phần mình, tệp DLL hoạt động như một trình tải đơn giản để truy xuất mã JavaScript từ máy chủ từ xa, sau đó máy chủ này sẽ kết nối đến một máy chủ khác để kết nối backdoor VeilShell.
Hình 3. Mã backdoor VeilShell
VeilShell là phần mềm độc hại dựa trên PowerShell được thiết kế để liên hệ với máy chủ điều khiển và ra lệnh (C2), cho phép thu thập thông tin về tệp, nén một thư mục cụ thể thành tệp ZIP và tải lại lên máy chủ C2, tải xuống tệp từ URL đã chỉ định, đổi tên và xóa tệp cũng như giải nén tệp ZIP.
Theo các nhà nghiên cứu, mỗi giai đoạn của cuộc tấn công đều có thời gian nghỉ (sleep) rất dài để tránh phát hiện bởi các chương trình bảo mật. Sau khi VeilShell được triển khai, nó không thực sự thực thi cho đến khi hệ thống khởi động lại tiếp theo.
“Chiến dịch Shrouded Sleep là một hoạt động tinh vi và bí mật nhắm vào Campuchia và có thể là một số quốc gia Đông Nam Á khác, tận dụng nhiều lớp thực thi, cơ chế duy trì và RAT backdoor dựa trên PowerShell linh hoạt để đạt được quyền kiểm soát lâu dài đối với các hệ thống bị xâm phạm”, các nhà nghiên cứu của Securonix cho biết.
Các nhà nghiên cứu của Securonix cho biết chiến dịch này là một ví dụ nữa về sự tinh vi và khả năng triển khai các công cụ bí mật của Triều Tiên trong các chiến dịch gián điệp trên khắp châu Á.
Trước đó, các tin tặc APT37 đã bị cáo buộc tham gia vào một loạt các cuộc tấn công khác vào tháng 01/2024 nhắm vào các tổ chức truyền thông và các học giả nổi tiếng. Năm 2023, Securonix đã báo cáo về một chiến dịch sử dụng các tài liệu tuyển dụng của quân đội Mỹ để dụ dỗ người dùng tại Hàn Quốc tải xuống phần mềm độc hại.
Hồng Đạt
(Tổng hợp)
11:00 | 26/08/2024
11:00 | 29/05/2024
10:00 | 13/05/2024
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
14:00 | 02/10/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
08:00 | 17/07/2024
Mới đây, một lỗ hổng bảo mật nghiêm trọng trong Exim Mail Server đã được phát hiện có thể cho phép kẻ tấn công gửi các tệp đính kèm độc hại đến hộp thư của người dùng mục tiêu.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
