người Trung Quốc

Ít nhất hai viện nghiên cứu đặt tại Nga và một mục tiêu có khả năng thứ ba ở Belarus đã bị tấn công gián điệp bởi một mối đe dọa dai dẳng tiên tiến (APT) của quốc gia-nhà nước Trung Quốc.

Các cuộc tấn công, có tên mã là “Gấu trúc xoắn“, diễn ra trong bối cảnh Nga xâm lược quân sự vào Ukraine, khiến nhiều đối tượng đe dọa nhanh chóng thích ứng với các chiến dịch của họ trong cuộc xung đột đang diễn ra để phát tán và tấn công cơ hội.

Họ đã hiện thực hóa dưới dạng các kế hoạch kỹ thuật xã hội với chủ đề chiến tranh và bả theo chủ đề trừng phạt được dàn dựng để lừa các nạn nhân tiềm năng nhấp vào các liên kết độc hại hoặc mở các tài liệu được vũ khí hóa.

Công ty Check Point của Israel, đã tiết lộ chi tiết về hoạt động thu thập thông tin tình báo mới nhất, cho rằng đây là một tác nhân đe dọa Trung Quốc, có mối liên hệ với Stone Panda (hay còn gọi là APT 10, Cicada hoặc Potassium) và Mustang Panda (hay còn gọi là Bronze President, HoneyMyte , hoặc RedDelta).

Gọi nó là sự tiếp nối của “một hoạt động gián điệp kéo dài chống lại các thực thể liên quan đến Nga đã hoạt động ít nhất từ ​​tháng 6 năm 2021”, các dấu vết gần đây nhất của hoạt động này được cho là đã được quan sát thấy gần đây nhất là vào tháng 4 năm 2022.

Xem tiếp:   Tin tặc Trung Quốc nhắm mục tiêu Máy chủ VMware Horizon với Log4Shell để triển khai Rootkit

Các mục tiêu bao gồm hai cơ sở nghiên cứu quốc phòng thuộc tập đoàn quốc phòng nhà nước Nga Rostec Corporation và một thực thể không xác định nằm ở thành phố Minsk của Belarus.

Các cuộc tấn công lừa đảo bắt đầu bằng các email có chứa liên kết giả mạo là Bộ Y tế Nga, nhưng trên thực tế là một miền do kẻ tấn công kiểm soát, cũng như một tài liệu Microsoft Word giả được thiết kế để kích hoạt sự lây nhiễm và làm rơi trình tải.

DLL 32-bit (“cmpbk32.dll”), bên cạnh việc thiết lập tính bền bỉ bằng tác vụ đã lên lịch, còn chịu trách nhiệm thực thi trình tải nhiều lớp giai đoạn hai, sau đó được giải nén để chạy tải trọng cuối cùng trong bộ nhớ.

Trọng tải được đưa vào, một cửa hậu không có giấy tờ trước đây có tên là Spinner, sử dụng các kỹ thuật tinh vi như làm phẳng luồng điều khiển để che giấu luồng chương trình, trước đây đã được xác định là được sử dụng bởi cả Stone Panda và Mustang Panda trong các cuộc tấn công của họ.

Check Point cho biết: “Các công cụ này đang được phát triển kể từ ít nhất tháng 3 năm 2021 và sử dụng các kỹ thuật chống phân tích và trốn tránh tiên tiến như bộ tải trong bộ nhớ nhiều lớp và trình xử lý xáo trộn cấp trình biên dịch,” Check Point cho biết.

Xem tiếp:   Đã phát hiện ra lỗ hổng RCE nghiêm trọng giống như Log4Shell trong Bảng điều khiển cơ sở dữ liệu H2

Mặc dù có cấu trúc mã phức tạp, Spinner là một thiết bị cấy ghép trần trụi chỉ được trang bị để liệt kê các máy chủ bị xâm phạm và chạy các tải trọng bổ sung được truy xuất từ ​​một máy chủ từ xa.

Check Point lưu ý rằng cuộc điều tra của họ cũng đã tiết lộ một biến thể trước đó của backdoor được phân phối theo kiểu tương tự, cho thấy rằng chiến dịch đã hoạt động kể từ tháng 6 năm 2021 dựa trên dấu thời gian tổng hợp của các tệp thực thi.

Nhưng trong một bước ngoặt thú vị, mặc dù phiên bản cũ hơn không tích hợp các phương pháp chống kỹ thuật đảo ngược, nhưng nó bù đắp bằng cách bổ sung các tính năng bổ sung bị thiếu trong Spinner, bao gồm khả năng liệt kê và thao tác các tệp, trích xuất dữ liệu có giá trị và chạy điều hành. lệnh hệ thống và tải trọng tải xuống tùy ý.

Các nhà nghiên cứu cho biết: “Trong vòng chưa đầy một năm, các tác nhân đã cải thiện đáng kể chuỗi lây nhiễm và khiến nó trở nên phức tạp hơn”. “ cả các chức năng từ chiến dịch cũ vẫn được giữ nguyên, nhưng nó bị tách ra giữa nhiều thành phần khiến việc phân tích hoặc phát hiện từng giai đoạn trở nên khó khăn hơn.”

“Sự phát triển của các công cụ và kỹ thuật trong suốt khoảng thời gian này chỉ ra rằng các tác nhân đằng sau chiến dịch kiên trì đạt được mục tiêu của họ một cách lén lút.”

Xem tiếp:   Một bộ ứng dụng Android khác có Joker Trojan Resurfaces trên Cửa hàng Google Play

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …