Hydrochasma: Mối đe dọa mới nhắm vào các công ty vận chuyển và phòng thí nghiệm y tế ở châu Á

Ngày 22 tháng 2 năm 2023Ravie LakshmananGián điệp mạng / Tấn công mạng

Các công ty vận chuyển và phòng thí nghiệm y tế ở châu Á đã trở thành đối tượng của một chiến dịch gián điệp bị nghi ngờ được thực hiện bởi một tác nhân đe dọa chưa từng thấy trước đây có tên là Hydrochasma.

Hoạt động này đã diễn ra từ tháng 10 năm 2022, “chỉ dựa vào các công cụ có sẵn công khai và sống ngoài đất liền”, Symantec, của Broadcom Software, cho biết trong một báo cáo được chia sẻ với The Hacker News.

Vẫn chưa có bằng chứng để xác định nguồn gốc hoặc mối liên hệ của nó với các tác nhân đe dọa đã biết, nhưng công ty an ninh mạng cho biết nhóm này có thể quan tâm đến các ngành dọc có liên quan đến các phương pháp điều trị hoặc vắc-xin liên quan đến COVID-19.

Các khía cạnh nổi bật của chiến dịch là không có phần mềm độc hại tùy chỉnh và đánh cắp dữ liệu, với tác nhân đe dọa sử dụng các công cụ nguồn mở để thu thập thông tin tình báo. Bằng cách sử dụng các công cụ đã có sẵn, có vẻ như mục tiêu là không chỉ gây nhầm lẫn cho các nỗ lực phân bổ mà còn làm cho các cuộc tấn công trở nên lén lút hơn.

Khởi đầu của chuỗi lây nhiễm rất có thể là một thông báo lừa đảo có chứa tài liệu thu hút theo chủ đề sơ yếu lý lịch mà khi được khởi chạy sẽ cấp quyền truy cập ban đầu vào máy.

Từ đó, những kẻ tấn công đã được quan sát triển khai một loạt các công cụ như Fast Reverse Proxy (FRP), Meterpreter, Cobalt Strike Beacon, Fscan, BrowserGhost và Gost proxy.

Các nhà nghiên cứu cho biết: “Các công cụ do Hydrochasma triển khai cho thấy mong muốn đạt được quyền truy cập liên tục và lén lút vào các máy nạn nhân, cũng như nỗ lực leo thang các đặc quyền và lan rộng sang các mạng nạn nhân”.

Việc lạm dụng FRP của các nhóm hack đã được ghi chép đầy đủ. Vào tháng 10 năm 2021, Positive Technologies đã tiết lộ các cuộc tấn công do ChamelGang thực hiện liên quan đến việc sử dụng công cụ này để kiểm soát các máy chủ bị xâm nhập.

Sau đó vào tháng 9 năm ngoái, Trung tâm ứng phó khẩn cấp bảo mật AhnLab (ASEC) đã phát hiện ra các cuộc tấn công nhắm vào các công ty hàn quốc sử dụng FRP để thiết lập quyền truy cập từ xa từ các máy chủ đã bị xâm nhập nhằm che giấu nguồn gốc của kẻ thù.

Hydrochasma không phải là tác nhân đe dọa duy nhất trong những tháng gần đây tránh hoàn toàn phần mềm độc hại đặt riêng. Điều này bao gồm một nhóm tội phạm mạng có tên là OPERA1ER (còn gọi là Bluebottle) sử dụng rộng rãi các công cụ sử dụng kép và phần mềm độc hại hàng hóa trong các cuộc xâm nhập nhằm vào các quốc gia Pháp ngữ ở Châu Phi.