Các tổ chức chính phủ và nhà nước ở một số quốc gia châu Á đã bị nhắm mục tiêu bởi một nhóm tin tặc gián điệp riêng biệt như một phần của nhiệm vụ thu thập thông tin tình báo đã được thực hiện từ đầu năm 2021.
“Một tính năng đáng chú ý của các cuộc tấn công này là những kẻ tấn công đã tận dụng một loạt các gói phần mềm hợp pháp để tải các phần mềm độc hại của chúng bằng cách sử dụng một kỹ thuật được gọi là tải bên DLL”, nhóm Symantec Threat Hunter, một bộ phận của Broadcom Software, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Chiến dịch này được cho là chỉ nhằm vào các tổ chức chính phủ liên quan đến tài chính, hàng không vũ trụ và quốc phòng, cũng như các công ty truyền thông, CNTT và viễn thông thuộc sở hữu nhà nước.
Tải bên thư viện liên kết động (DLL) là một phương pháp tấn công mạng phổ biến tận dụng cách các ứng dụng Microsoft Windows xử lý tệp DLL. Trong những cuộc xâm nhập này, một DLL độc hại giả mạo được đưa vào thư mục Windows Side-by-Side (WinSxS) để hệ điều hành tải nó thay vì tệp hợp pháp.
Các cuộc tấn công đòi hỏi việc sử dụng các phiên bản cũ và lỗi thời của các giải pháp bảo mật, phần mềm đồ họa và trình duyệt web bị ràng buộc thiếu các biện pháp giảm thiểu tải bên DLL, sử dụng chúng như một đường dẫn để tải các shellcode tùy ý được thiết kế để thực thi các tải trọng bổ sung.
Hơn nữa, các gói phần mềm cũng tăng gấp đôi như một phương tiện cung cấp các công cụ để tạo điều kiện cho hành vi trộm cắp thông tin xác thực và di chuyển ngang qua mạng bị xâm nhập.
“[The threat actor] Các nhà nghiên cứu lưu ý rằng đã tận dụng PsExec để chạy các phiên bản cũ của phần mềm hợp pháp, sau đó được sử dụng để tải các công cụ phần mềm độc hại bổ sung như Trojan truy cập từ xa (RATS) thông qua tải bên DLL trên các máy tính khác trong mạng “.
Trong một cuộc tấn công nhằm vào một tổ chức thuộc sở hữu của chính phủ trong lĩnh vực giáo dục ở châu Á kéo dài từ tháng 4 đến tháng 7 năm 2022, trong đó kẻ thù đã truy cập vào các máy lưu trữ cơ sở dữ liệu và email, trước khi truy cập vào bộ điều khiển miền.
Cuộc xâm nhập cũng sử dụng phiên bản 11 năm tuổi của Bitdefender Crash Handler (“javac.exe”) để khởi chạy phiên bản đổi tên của Mimikatz (“calc.exe”), một khung kiểm tra thâm nhập golang mã nguồn mở có tên LadonGo, và các trọng tải tùy chỉnh khác trên nhiều máy chủ.
Một trong số đó là trình đánh cắp thông tin giàu tính năng, không có tài liệu trước đây có khả năng ghi lại các lần gõ phím, chụp ảnh màn hình, kết nối và truy vấn cơ sở dữ liệu SQL, tải xuống tệp và đánh cắp dữ liệu khay nhớ tạm.
Cũng được đưa vào sử dụng trong cuộc tấn công là một công cụ quét mạng nội bộ công khai có tên Fscan để thực hiện các nỗ lực khai thác tận dụng các lỗ hổng ProxyLogon Microsoft Exchange Server.
Danh tính của nhóm mối đe dọa không rõ ràng, mặc dù nó được cho là đã sử dụng ShadowPad trong các chiến dịch trước đó, một cửa sau mô-đun được tạo ra như một sự kế thừa của PlugX (hay còn gọi là Korplug) và được chia sẻ cho nhiều kẻ đe dọa Trung Quốc.
Symantec cho biết họ có bằng chứng hạn chế liên kết các cuộc tấn công trước đó của kẻ đe dọa liên quan đến phần mềm độc hại PlugX với các nhóm hack khác của Trung Quốc như APT41 (hay còn gọi là Wicked Panda) và Mustang Panda. Hơn nữa, việc sử dụng tệp Bitdefender hợp pháp để sideload shellcode đã được quan sát thấy trong các cuộc tấn công trước đây do APT41 gây ra.
Các nhà nghiên cứu cho biết: “Việc sử dụng các ứng dụng hợp pháp để hỗ trợ tải bên DLL dường như là một xu hướng ngày càng tăng giữa các bên hoạt động gián điệp trong khu vực. “Mặc dù là một kỹ thuật nổi tiếng, nhưng nó phải mang lại một số thành công cho những kẻ tấn công với mức độ phổ biến hiện tại của nó.”
.
