Chiến dịch này dường như nhằm phục vụ các mục đích gián điệp và vào các thực thể khác nhau liên quan đến các hoạt động chính phủ, luật pháp và tôn giáo, cũng như các tổ chức phi chính phủ trên ít nhất ba lục địa.

Hoạt động này được cho là do một nhóm được theo dõi có tên Cicada (hay còn gọi là menuPass, Stone Panda, Potassium, APT10, Red Apollo) đã hoạt động hơn 15 năm và được biết đến ít nhất từ năm 2006.

Sử dụng VLC Media Player để triển khai trình tải phần mềm độc hại tùy chỉnh

Thời gian bắt đầu chiến dịch của Cicada đã được theo dõi đến giữa năm 2021 và vẫn còn hoạt động vào tháng 2/2022. Các nhà nghiên cứu cho rằng hoạt động này vẫn đang tiếp diễn đến tận bây giờ.

Có bằng chứng cho thấy một số quyền truy cập ban đầu vào một số mạng bị vi phạm là thông qua máy chủ Microsoft Exchange, cho thấy rằng tin tặc đã khai thác một đã biết trước đó trên các máy chưa được vá.

Các nhà nghiên cứu tại Symantec (thuộc hãng Broadcom) đã phát hiện ra rằng, sau khi có được quyền truy cập vào máy mục tiêu, tin tặc đã triển khai một trình tải tùy chỉnh trên các hệ thống bị xâm phạm với sự trợ giúp của phần mềm phổ biến VLC Media Player.

Nhà phát triển thông tin cấp cao Brigid O Gorman của Symantec Threat Hunter Team nói trên trang tin tức công nghệ BleepingComputer rằng, tin tặc sử dụng phiên bản của VLC Media Player với tệp DLL độc hại trong cùng đường dẫn với các chức năng xuất của trình phát đa phương tiện.

Kỹ thuật này được gọi là DLL side-loading, được tin tặc sử dụng rộng rãi để tải phần mềm độc hại vào các quy trình hợp pháp nhằm che giấu hoạt động của chúng.

Không chỉ vậy, nhóm tin tặc cũng sử dụng backdoor Sodamaster trên các mạng bị xâm nhập, một công cụ được cho là độc quyền của nhóm tin tặc Cicada ít nhất là từ năm 2020. Sodamaster chạy trong bộ nhớ hệ thống (không có bộ lọc) và được trang bị để tránh bị phát hiện bằng cách tìm kiếm manh mối trong môi trường Sandbox trong Registry hoặc bằng cách trì hoãn việc thực thi nó.

Phần mềm độc hại cũng có thể thu thập thông tin chi tiết về hệ thống, tìm kiếm các quy trình đang chạy, tải xuống và thực thi các tải trọng khác nhau từ máy chủ ra lệnh và điều khiển.

Một số công cụ phát hiện trong chiến dịch này bao gồm:

• Công cụ lưu trữ RAR - giúp nén, mã hóa hoặc lưu trữ các tệp, có khả năng bị lọc;
• Công cụ rà quét hệ thống và mạng để tin tặc nắm bắt thông tin về các dịch vụ được kết nối với máy bị nhiễm;
• WMIExec - công cụ dòng lệnh của Microsoft có thể được sử dụng để thực hiện các lệnh trên máy tính từ xa;
• NBTScan - một công cụ mã nguồn mở đã được các nhóm APT sử dụng để do thám trong một mạng bị xâm nhập.

Các nhà nghiên cứu cho biết thời gian tồn tại của những kẻ tấn công trên mạng của một số nạn nhân được phát hiện kéo dài tới 9 tháng.

Mục tiêu nhắm đến rộng hơn

Nhiều tổ chức được nhắm mục tiêu trong chiến dịch này dường như có liên quan đến chính phủ hoặc các tổ chức phi chính phủ (tham gia vào các hoạt động giáo dục hoặc tôn giáo), cũng như các công ty trong lĩnh vực viễn thông, pháp lý và dược phẩm.

Các nhà nghiên cứu của Symantec nhấn mạnh vị trí địa lý rộng rãi của chiến dịch Cicada bao gồm các nạn nhân ở Mỹ, Canada, Hồng Kông, Thổ Nhĩ Kỳ, Israel, Ấn Độ, Montenegro và Ý. Chỉ duy nhất có một nạn nhân đến từ Nhật Bản - quốc gia từng là tâm điểm của nhóm Cicada trong nhiều năm.

So với mục tiêu trước đó của nhóm thường tập trung vào các công ty có liên kết với Nhật Bản thì các nạn nhân trong chiến dịch này cho thấy nhóm tin tặc đã mở rộng sự quan tâm của mình sang các quốc gia và tổ chức khác.

Trong khi tập trung vào các công ty liên kết với Nhật Bản, Cicada đã nhắm mục tiêu đến các lĩnh vực mới khác như: y tế, quốc phòng, hàng không vũ trụ, tài chính, hàng hải, công nghệ sinh học, năng lượng và chính phủ.

Ít nhất hai thành viên của nhóm tin tặc này đã bị buộc tội ở Mỹ vì hoạt động tấn công máy tính nhằm giúp Cục An ninh Nhà nước Thiên Tân của Bộ An ninh Quốc gia Trung Quốc (MSS) lấy được tài sản trí tuệ và thông tin kinh doanh bí mật từ các nhà cung cấp dịch vụ, các cơ quan chính phủ Hoa Kỳ và hơn 45 công ty công nghệ khác.