Một nhóm mối đe dọa dai dẳng nâng cao (APT) do nhà nước Trung Quốc hậu thuẫn nổi tiếng với việc đánh bật các thực thể Nhật Bản đã được cho là do một chiến dịch gián điệp kéo dài mới nhắm vào các khu vực địa lý mới, cho thấy việc “mở rộng” mục tiêu của kẻ đe dọa.
Các cuộc xâm nhập trên diện rộng, được cho là bắt đầu sớm nhất vào giữa năm 2021 và tiếp tục gần đây đến tháng 2 năm 2022, được gắn với một nhóm được theo dõi là Cicada, còn được gọi là APT10, Stone Panda, Potassium, Bronze Riverside, hoặc Nhóm MenuPass.
“Các nạn nhân trong chiến dịch Cicada (hay còn gọi là APT10) này bao gồm các tổ chức chính phủ, hợp pháp, tôn giáo và phi chính phủ (NGO) ở nhiều quốc gia trên thế giới, bao gồm cả ở châu Âu, châu Á và Bắc Mỹ”, các nhà nghiên cứu từ Nhóm thợ săn đe dọa Symantec , một bộ phận của Broadcom Software, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Brigid O. Gorman, nhà phát triển thông tin cấp cao tại Symantec Threat Hunter Team, nói với The Hacker News rằng: “Có một sự tập trung mạnh mẽ vào các nạn nhân trong chính phủ và các tổ chức phi chính phủ, với một số tổ chức này hoạt động trong các lĩnh vực tôn giáo và giáo dục.
Hầu hết các tổ chức được nhắm mục tiêu nằm ở Hoa Kỳ, Canada, Hồng Kông, Thổ Nhĩ Kỳ, Israel, Ấn Độ, Montenegro và Ý, cùng với một nạn nhân ở Nhật Bản, với việc kẻ thù chi tiêu tới 9 tháng trên mạng của một số nạn nhân này .
“Cũng có một số nạn nhân trong lĩnh vực viễn thông, pháp lý và dược phẩm, nhưng các tổ chức chính phủ và phi lợi nhuận dường như là trọng tâm chính trong chiến dịch này”, Gorman nói thêm.
Vào tháng 3 năm 2021, các nhà nghiên cứu của Kaspersky đã kết thúc một hoạt động thu thập thông tin tình báo do nhóm thực hiện để triển khai việc cấy ghép thu thập thông tin từ một số lĩnh vực công nghiệp tại Nhật Bản.
Sau đó vào đầu tháng 2 này, Stone Panda bị dính líu đến một cuộc tấn công có tổ chức vào chuỗi cung ứng nhằm vào lĩnh vực tài chính của Đài Loan với mục tiêu đánh cắp thông tin nhạy cảm từ các hệ thống bị xâm nhập.
Tập hợp các cuộc tấn công mới mà Symantec quan sát được bắt đầu với việc các tác nhân có được quyền truy cập ban đầu bằng một lỗ hổng đã biết, chưa được vá trong Máy chủ Microsoft Exchange, sử dụng nó để triển khai cửa sau của họ, SodaMaster.
“Tuy nhiên, chúng tôi không quan sát thấy những kẻ tấn công khai thác một lỗ hổng cụ thể, vì vậy chúng tôi không thể nói liệu chúng có sử dụng ProxyShell hay ProxyLogon hay không [flaws]”, Gorman nói.
SodaMaster là một trojan truy cập từ xa dựa trên Windows được trang bị các tính năng để tạo thuận lợi cho việc truy xuất các tải trọng bổ sung và lấy thông tin trở lại máy chủ điều khiển và kiểm soát (C2) của nó.
Các công cụ khác được triển khai trong quá trình xâm nhập bao gồm tiện ích kết xuất thông tin xác thực Mimikatz, NBTScan để tiến hành trinh sát nội bộ, WMIExec để thực thi lệnh từ xa và VLC Media Player để khởi chạy trình tải tùy chỉnh trên máy chủ bị nhiễm.
“Chiến dịch này với các nạn nhân trong một số lượng lớn các lĩnh vực như vậy dường như cho thấy nhóm hiện đang quan tâm đến nhiều mục tiêu khác nhau”, Gorman nói.
“Các loại tổ chức được nhắm mục tiêu – tổ chức phi lợi nhuận và tổ chức chính phủ, bao gồm cả những tổ chức liên quan đến hoạt động tôn giáo và giáo dục – rất có thể được nhóm quan tâm vì mục đích gián điệp. Loại hoạt động mà chúng tôi thấy trên máy nạn nhân và hoạt động trong quá khứ của Cicada cũng là tất cả chỉ ra động cơ đằng sau chiến dịch này là hoạt động gián điệp. “
.
