Ngày 15 tháng 5 năm 2023Ravie LakshmananĐe dọa mạng / Phần mềm độc hại
Các lĩnh vực chính phủ, hàng không, giáo dục và viễn thông ở Nam và Đông Nam Á đã lọt vào tầm ngắm của một nhóm tin tặc mới như một phần của chiến dịch nhắm mục tiêu cao bắt đầu vào giữa năm 2022 và kéo dài đến quý đầu tiên của năm 2023.
Symantec, của Broadcom Software, đang theo dõi hoạt động dưới biệt danh chủ đề côn trùng con chuồn chuồnvới các cuộc tấn công sử dụng một backdoor “mạnh mẽ” gọi là Merdoor.
Bằng chứng thu thập được cho đến nay chỉ ra rằng bộ cấy tùy chỉnh đã được sử dụng từ năm 2018. Mục tiêu cuối cùng của chiến dịch, dựa trên các công cụ và mô hình nạn nhân, được đánh giá là thu thập thông tin tình báo.
Symantec cho biết trong một phân tích được chia sẻ với The Hacker News: “Cửa hậu được sử dụng rất có chọn lọc, chỉ xuất hiện trên một số ít mạng và một số lượng nhỏ máy trong nhiều năm, với việc sử dụng nó dường như được nhắm mục tiêu cao”.
“Những kẻ tấn công trong chiến dịch này cũng có quyền truy cập vào phiên bản cập nhật của rootkit ZXShell.”
Mặc dù vectơ xâm nhập ban đầu chính xác được sử dụng hiện chưa rõ ràng, nhưng nó bị nghi ngờ có liên quan đến việc sử dụng mồi nhử lừa đảo, SSH brute-forcing hoặc khai thác các máy chủ tiếp xúc với internet.
Chuỗi tấn công cuối cùng dẫn đến việc triển khai ZXShell và Merdoor, một phần mềm độc hại có đầy đủ tính năng có thể giao tiếp với máy chủ do diễn viên kiểm soát để có thêm lệnh và ghi lại các lần nhấn phím.
ZXShell, lần đầu tiên được Cisco ghi nhận vào tháng 10 năm 2014, là một rootkit đi kèm với nhiều tính năng khác nhau để thu thập dữ liệu nhạy cảm từ các máy chủ bị nhiễm. Việc sử dụng ZXShell đã được liên kết với nhiều diễn viên Trung Quốc khác nhau như APT17 (Aurora Panda) và APT27 (còn gọi là Budworm hoặc Emissary Panda) trong quá khứ.
Symantec cho biết: “Mã nguồn của rootkit này được công bố rộng rãi nên nó có thể được sử dụng bởi nhiều nhóm khác nhau. “Phiên bản mới của rootkit mà Lancefly sử dụng dường như có kích thước nhỏ hơn, trong khi nó cũng có các chức năng bổ sung và nhắm mục tiêu vô hiệu hóa phần mềm chống vi-rút bổ sung.”
Một liên kết khác của Trung Quốc xuất phát từ thực tế là rootkit ZXShell được ký bởi chứng chỉ “Wemade Entertainment Co. Ltd”, được Mandiant báo cáo trước đó vào tháng 8 năm 2029 có liên quan đến apt41 (hay còn gọi là Winnti).
Các cuộc xâm nhập của Lancefly cũng đã được xác định là sử dụng PlugX và ShadowPad kế nhiệm của nó, phần sau của nó là một nền tảng phần mềm độc hại mô-đun được chia sẻ riêng giữa nhiều tác nhân do nhà nước Trung Quốc tài trợ kể từ năm 2015.
Điều đó nói rằng, người ta cũng biết rằng việc chia sẻ chứng chỉ và công cụ là phổ biến giữa các nhóm do nhà nước Trung Quốc tài trợ, khiến việc quy kết một nhóm tấn công cụ thể đã biết trở nên khó khăn.
Symantec lưu ý: “Mặc dù cửa hậu Merdoor dường như đã tồn tại được vài năm, nhưng nó dường như chỉ được sử dụng trong một số lượng nhỏ các cuộc tấn công trong khoảng thời gian đó”. “Việc sử dụng công cụ một cách thận trọng này có thể cho thấy mong muốn của Lancefly để giữ cho hoạt động của nó nằm trong tầm ngắm.”
