Các cơ quan an ninh mạng và tình báo Hoa Kỳ hôm thứ Ba đã tiết lộ rằng nhiều nhóm tấn công quốc gia có khả năng nhắm mục tiêu vào mạng doanh nghiệp của “Tổ chức Cơ sở Công nghiệp Quốc phòng (DIB) Sector” như một phần của chiến dịch gián điệp mạng.
“[Advanced persistent threat] Các diễn viên đã sử dụng một bộ công cụ mã nguồn mở có tên là Impacket để đạt được chỗ đứng trong môi trường và xâm phạm mạng hơn nữa, đồng thời cũng sử dụng một công cụ lọc dữ liệu tùy chỉnh, CovalentStealer, để lấy cắp dữ liệu nhạy cảm của nạn nhân “, nhà chức trách cho biết.
Cố vấn chung, do Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Cục Điều tra Liên bang (FBI) và Cơ quan An ninh Quốc gia (NSA), cho biết các đối thủ có khả năng tiếp cận lâu dài với môi trường bị xâm phạm.
Các phát hiện là kết quả của nỗ lực ứng phó sự cố của CISA phối hợp với công ty bảo mật bên thứ ba đáng tin cậy từ tháng 11 năm 2021 đến tháng 1 năm 2022. Nó không quy sự xâm nhập là do một nhóm hoặc tác nhân đe dọa đã biết.
Vectơ lây nhiễm ban đầu được sử dụng để xâm phạm mạng cũng không được xác định, mặc dù một số tác nhân APT được cho là đã lấy được đầu dò kỹ thuật số đến Máy chủ Microsoft Exchange của mục tiêu sớm nhất là vào giữa tháng 1 năm 2021.
Các hoạt động hậu khai thác tiếp theo vào tháng 2 kéo theo sự kết hợp của các nỗ lực do thám và thu thập dữ liệu, những nỗ lực sau đó dẫn đến việc đánh cắp thông tin nhạy cảm liên quan đến hợp đồng. Cũng được triển khai trong giai đoạn này là công cụ Impacket để thiết lập sự bền bỉ và tạo điều kiện cho chuyển động bên.
Một tháng sau, các tác nhân APT đã khai thác lỗ hổng ProxyLogon trong Microsoft Exchange Server để cài đặt 17 web shell của China Chopper và HyperBro, một cửa hậu được sử dụng độc quyền bởi một nhóm đe dọa Trung Quốc có tên Lucky Mouse (còn gọi là APT27, Bronze Union, Budworm, hoặc Emissary Panda).
Những kẻ xâm nhập, từ cuối tháng 7 đến giữa tháng 10 năm 2021, tiếp tục sử dụng một loại phần mềm độc hại riêng có tên là CovalentStealer chống lại thực thể ẩn danh để hút tài liệu được lưu trữ trên tệp chia sẻ và tải chúng lên thư mục đám mây Microsoft OneDrive.
Các tổ chức được khuyến nghị theo dõi nhật ký các kết nối từ các VPN bất thường, sử dụng tài khoản đáng ngờ, sử dụng dòng lệnh độc hại bất thường và đã biết cũng như các thay đổi trái phép đối với tài khoản người dùng.
