Ngày 26 tháng 4 năm 2023Ravie Lakshmanan
Nhóm quốc gia-nhà nước Iran sung mãn được gọi là mèo con quyến rũ nhắm mục tiêu nhiều nạn nhân ở Hoa Kỳ, Châu Âu, Trung Đông và Ấn Độ bằng một phần mềm độc hại mới có tên BellaCiaothêm vào danh sách ngày càng mở rộng các công cụ tùy chỉnh của nó.
Được phát hiện bởi Bitdefender Labs, BellaCiao là một “trình nhỏ giọt được cá nhân hóa” có khả năng phân phối các phần mềm độc hại khác vào máy nạn nhân dựa trên các lệnh nhận được từ máy chủ do tác nhân kiểm soát.
“Mỗi mẫu được thu thập được gắn với một nạn nhân cụ thể và bao gồm thông tin được mã hóa cứng như tên công ty, tên miền phụ được chế tạo đặc biệt hoặc địa chỉ IP công cộng có liên quan”, công ty an ninh mạng Rumani cho biết trong một báo cáo được chia sẻ với The Hacker News.
Charming Kitten, còn được gọi là APT35, Cobalt Illusion, Educated Manticore, ITG18, Mint Sandstorm (nhũ danh Phosphorus), TA453 và Yellow Garuda, là một nhóm APT do nhà nước Iran tài trợ có liên kết với Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC).
Trong những năm qua, nhóm đã sử dụng nhiều phương tiện khác nhau để triển khai các cửa hậu trong các hệ thống thuộc nhiều ngành dọc khác nhau.
Diễn biến này xảy ra khi tác nhân đe dọa được Microsoft cho là đã thực hiện các cuộc tấn công trả đũa nhằm vào các thực thể cơ sở hạ tầng quan trọng ở Hoa Kỳ từ cuối năm 2021 đến giữa năm 2022 bằng cách sử dụng phần mềm độc hại đặt riêng như HarmPower, Drokbk và Soldier.
Sau đó vào đầu tuần này, Check Point đã tiết lộ việc Mint Sandstorm sử dụng phiên bản cập nhật của bộ cấy PowerLess để tấn công các tổ chức ở Israel bằng cách sử dụng mồi nhử lừa đảo có chủ đề ở Iraq.
Nhà nghiên cứu Martin Zugec của Bitdefender lưu ý: “Phần mềm độc hại được phát triển tùy chỉnh, còn được gọi là phần mềm độc hại ‘được thiết kế riêng', thường khó phát hiện hơn vì nó được chế tạo đặc biệt để tránh bị phát hiện và chứa mã duy nhất”.
Phương thức hoạt động chính xác được sử dụng để đạt được sự xâm nhập ban đầu hiện chưa được xác định, mặc dù nó bị nghi ngờ dẫn đến việc khai thác các lỗ hổng đã biết trong các ứng dụng tiếp xúc với internet như Microsoft Exchange Server hoặc Zoho ManageEngine.
Sau khi vi phạm thành công, kẻ đe dọa sẽ cố gắng vô hiệu hóa Bộ bảo vệ Microsoft bằng cách sử dụng lệnh PowerShell và thiết lập sự tồn tại trên máy chủ thông qua một phiên bản dịch vụ.
Bitdefender cho biết họ cũng quan sát thấy Charming Kitten tải xuống hai mô-đun Dịch vụ thông tin Internet (IIS) có khả năng xử lý các hướng dẫn đến và lấy cắp thông tin xác thực.
Về phần mình, BellaCiao cũng đáng chú ý khi thực hiện yêu cầu DNS cứ sau 24 giờ để phân giải tên miền phụ thành địa chỉ IP mà sau đó được phân tích cú pháp để trích xuất các lệnh sẽ được thực thi trên hệ thống bị xâm nhập.
Zugec giải thích: “Địa chỉ IP được giải quyết giống như địa chỉ IP công cộng thực, nhưng với những sửa đổi nhỏ cho phép BellaCiao nhận thêm hướng dẫn”.
Tùy thuộc vào địa chỉ IP được giải quyết, chuỗi tấn công dẫn đến việc triển khai vỏ web hỗ trợ khả năng tải lên và tải xuống các tệp tùy ý cũng như chạy các lệnh.
Cũng được phát hiện là một biến thể thứ hai của BellaCiao thay thế vỏ web cho công cụ Plink – tiện ích dòng lệnh cho PuTTY – được thiết kế để thiết lập kết nối proxy ngược với máy chủ từ xa và triển khai các tính năng cửa hậu tương tự.
Zugec kết luận: “Cách bảo vệ tốt nhất chống lại các cuộc tấn công hiện đại liên quan đến việc triển khai kiến trúc phòng thủ chuyên sâu”. “Bước đầu tiên trong quy trình này là giảm bề mặt tấn công, bao gồm việc hạn chế số lượng điểm vào mà kẻ tấn công có thể sử dụng để giành quyền truy cập vào hệ thống của bạn và nhanh chóng vá các lỗ hổng mới được phát hiện.”
