Một nhóm gián điệp do nhà nước Trung Quốc tài trợ có tên là Override Panda đã nổi lên trong những tuần gần đây với một cuộc tấn công lừa đảo mới với mục tiêu đánh cắp thông tin nhạy cảm.
Cluster25 cho biết trong một báo cáo được công bố vào tuần trước: “APT của Trung Quốc đã sử dụng một email lừa đảo trực tuyến để gửi một đèn hiệu của một khuôn khổ Đội Đỏ được gọi là ‘Viper'”.
“Mục tiêu của cuộc tấn công này hiện chưa được xác định nhưng khả năng cao, với lịch sử trước đây của cuộc tấn công do nhóm thực hiện, nó có thể là một tổ chức chính phủ từ một quốc gia Nam Á.”
Override Panda, còn được gọi là Naikon, Hellsing và Bronze Geneva, được biết là hoạt động nhân danh lợi ích của Trung Quốc ít nhất từ năm 2005 để tiến hành các hoạt động thu thập thông tin tình báo nhắm vào các nước ASEAN.
Các chuỗi tấn công do kẻ đe dọa mở ra có liên quan đến việc sử dụng các tài liệu giả mạo được đính kèm với các email lừa đảo trực tuyến được thiết kế để lôi kéo các nạn nhân dự định mở và tự thỏa hiệp với phần mềm độc hại.
Tháng 4 năm ngoái, nhóm này có liên quan đến một chiến dịch gián điệp mạng trên diện rộng nhằm chống lại các tổ chức quân sự ở Đông Nam Á. Sau đó vào tháng 8 năm 2021, Naikon dính líu đến các cuộc tấn công mạng nhắm vào lĩnh vực viễn thông trong khu vực vào cuối năm 2020.
Chiến dịch mới nhất được phát hiện bởi Cluster25 không khác ở chỗ nó sử dụng một tài liệu Microsoft Office được vũ khí hóa để khởi động chuỗi tiêu diệt lây nhiễm bao gồm một trình tải được thiết kế để khởi chạy mã shellcode, từ đó đưa ra một báo hiệu cho công cụ Viper red team.
Có sẵn để tải xuống từ GitHub, Viper được mô tả là một “công cụ thâm nhập mạng nội bộ đồ họa, mô-đun hóa và vũ khí hóa các chiến thuật và công nghệ thường được sử dụng trong quá trình thâm nhập Intranet.”
Khung, tương tự như cobalt strike, được cho là có hơn 80 mô-đun để tạo điều kiện truy cập ban đầu, tính bền bỉ, leo thang đặc quyền, Truy cập thông tin xác thực, di chuyển bên và thực thi lệnh tùy ý.
Các nhà nghiên cứu chỉ ra: “Bằng cách quan sát kho vũ khí hack của Naikon APT, người ta kết luận rằng nhóm này có xu hướng tiến hành các hoạt động tình báo và gián điệp dài hạn, điển hình cho một nhóm nhằm tiến hành các cuộc tấn công vào các chính phủ và quan chức nước ngoài”.
“Để tránh bị phát hiện và tối đa hóa kết quả, nó đã thay đổi [tactics, techniques, and procedures] và các công cụ theo thời gian. “
.
