Ngày 20 tháng 4 năm 2023Ravie LakshmananTấn công mạng / Phần mềm độc hại
Các nhà cung cấp dịch vụ viễn thông ở Châu Phi là mục tiêu của một chiến dịch mới do một tác nhân đe dọa có liên hệ với Trung Quốc dàn dựng ít nhất kể từ tháng 11 năm 2022.
Các cuộc xâm nhập đã được ghim vào một nhóm hack được theo dõi bởi Symantec như dao gămvà cũng được theo dõi bởi cộng đồng an ninh mạng rộng lớn hơn với tên gọi Bronze Highland và Evasive Panda.
Công ty an ninh mạng cho biết trong một báo cáo được chia sẻ với The Hacker News, chiến dịch này sử dụng “các plugin chưa từng thấy trước đây từ khung phần mềm độc hại MgBot”. “Những kẻ tấn công cũng được nhìn thấy đang sử dụng trình tải PlugX và lạm dụng phần mềm máy tính từ xa AnyDesk hợp pháp.”
Việc Daggerfly sử dụng trình tải MgBot (còn gọi là BLame hoặc MgmBot) đã bị malwarebytes chú ý vào tháng 7 năm 2020 như một phần của các cuộc tấn công lừa đảo nhằm vào nhân viên chính phủ Ấn Độ và các cá nhân ở Hồng Kông.
Theo Secureworks, tác nhân đe dọa sử dụng phương thức lừa đảo trực tuyến làm phương tiện lây nhiễm ban đầu để loại bỏ MgBot cũng như các công cụ khác như Cobalt Strike và trojan truy cập từ xa Android (RAT) có tên KsRemote.
Nhóm này bị nghi ngờ tiến hành các hoạt động gián điệp chống lại những người ủng hộ nhân quyền và dân chủ trong nước và các quốc gia láng giềng Trung Quốc kể từ năm 2014.
Các chuỗi tấn công được phân tích bởi Symantec cho thấy việc sử dụng các công cụ Living-off-the-Land (LotL) như BITSAdmin và PowerShell để cung cấp các tải trọng ở giai đoạn tiếp theo, bao gồm một tệp thực thi AnyDesk hợp pháp và một tiện ích thu thập thông tin xác thực.
Sau đó, kẻ đe dọa chuyển sang thiết lập sự tồn tại lâu dài trên hệ thống nạn nhân bằng cách tạo một tài khoản cục bộ và triển khai khung mô-đun MgBot, đi kèm với một loạt các plugin để thu thập dữ liệu trình duyệt, ghi lại các lần nhấn phím, chụp ảnh màn hình, ghi lại âm thanh và liệt kê các Dịch vụ Active Directory.
Symantec cho biết: “Tất cả những khả năng này sẽ cho phép những kẻ tấn công thu thập một lượng thông tin đáng kể từ các máy nạn nhân. “Khả năng của các plugin này cũng cho thấy mục tiêu chính của những kẻ tấn công trong chiến dịch này là thu thập thông tin.”
Bản chất toàn diện của MgBot chỉ ra rằng nó được các nhà khai thác duy trì và cập nhật tích cực để có được quyền truy cập vào môi trường nạn nhân.
Tiết lộ được đưa ra gần một tháng sau khi SentinelOne trình bày chi tiết về một chiến dịch có tên là Tình yêu bị nhiễm độc vào quý 1 năm 2023 nhằm vào các nhà cung cấp dịch vụ viễn thông ở Trung Đông. Nó được cho là do một nhóm gián điệp mạng Trung Quốc chia sẻ trùng lặp với Gallium (hay còn gọi là Othorene).
Symantec cho biết thêm họ đã xác định thêm ba nạn nhân của cùng một nhóm hoạt động ở Châu Á và Châu Phi. Hai trong số các nạn nhân bị xâm phạm vào tháng 11 năm 2022, là công ty con của một công ty viễn thông ở khu vực Trung Đông.
Symantec cho biết: “Các công ty viễn thông sẽ luôn là mục tiêu chính trong các chiến dịch thu thập thông tin tình báo do quyền truy cập mà họ có thể cung cấp cho thông tin liên lạc của người dùng cuối”.
