Ngày 19 tháng 7 năm 2023THNSpyware / Mobile Security
Diễn viên nhà nước quốc gia có liên hệ chặt chẽ với Trung Quốc được gọi là APT41 đã được liên kết với hai chủng phần mềm gián điệp Android không có giấy tờ trước đây có tên là WyrmSpy và DragonEgg.
Lookout cho biết trong một báo cáo được chia sẻ với The Hacker News: “Được biết đến với việc khai thác các ứng dụng giao diện web và xâm nhập vào các thiết bị đầu cuối truyền thống, một tác nhân đe dọa lâu đời như APT 41 bao gồm cả thiết bị di động trong kho phần mềm độc hại của nó cho thấy các thiết bị đầu cuối di động là mục tiêu có giá trị cao như thế nào với dữ liệu cá nhân và công ty được thèm muốn.
APT41, còn được theo dõi dưới các tên Axiom, Blackfly, Brass Typhoon (trước đây là Barium), Bronze Atlas, HOODOO, Wicked Panda và Winnti, được biết là đã hoạt động ít nhất từ năm 2007, nhắm mục tiêu vào nhiều ngành công nghiệp để thực hiện hành vi trộm cắp tài sản trí tuệ.
Các cuộc tấn công gần đây do tập thể đối thủ thực hiện đã tận dụng một công cụ hợp tác nhóm màu đỏ nguồn mở có tên là Google Command and Control (GC2) như một phần của các cuộc tấn công nhằm vào các nền tảng truyền thông và việc làm ở Đài Loan và Ý.
Vectơ xâm nhập ban đầu cho chiến dịch phần mềm giám sát di động không được biết, mặc dù nó bị nghi ngờ có liên quan đến việc sử dụng kỹ thuật xã hội. Lookout cho biết họ phát hiện WyrmSpy lần đầu tiên vào đầu năm 2017 và DragonEgg vào đầu năm 2021, với các mẫu mới của loại thứ hai được phát hiện gần đây vào tháng 4 năm 2023.
WyrmSpy chủ yếu giả dạng một ứng dụng hệ thống mặc định được sử dụng để hiển thị thông báo cho người dùng. Tuy nhiên, các biến thể sau này đã đóng gói phần mềm độc hại vào các ứng dụng mạo danh nội dung video người lớn, Baidu Waimai và Adobe Flash. Mặt khác, DragonEgg đã được phân phối dưới dạng bàn phím Android của bên thứ ba và các ứng dụng nhắn tin như Telegram.
Không có bằng chứng nào cho thấy những ứng dụng giả mạo này đã được lan truyền qua Cửa hàng Google Play.
Các kết nối của WyrmSpy và DragonEgg với APT41 phát sinh từ việc sử dụng máy chủ và lệnh (C2) với địa chỉ IP 121.42.149[.]52, phân giải thành miền (“vpn2.umisen[.]com”) trước đây được xác định là có liên quan đến cơ sở hạ tầng của nhóm.
Sau khi được cài đặt, cả hai chủng phần mềm độc hại đều yêu cầu quyền xâm nhập và được trang bị khả năng thu thập và trích xuất dữ liệu tinh vi, thu thập ảnh, vị trí, tin nhắn SMS và bản ghi âm của người dùng.
Phần mềm độc hại cũng đã được quan sát dựa trên các mô-đun được tải xuống từ máy chủ C2 hiện ngoại tuyến sau khi cài đặt ứng dụng để tạo điều kiện thuận lợi cho việc thu thập dữ liệu, đồng thời tránh bị phát hiện.
Về phần mình, WyrmSpy có khả năng vô hiệu hóa Linux được tăng cường bảo mật (SELinux), một tính năng bảo mật trong Android và sử dụng các công cụ root như KingRoot11 để có được các đặc quyền nâng cao trên thiết bị cầm tay bị xâm nhập. Một tính năng đáng chú ý của DragonEgg là nó thiết lập liên hệ với máy chủ C2 để tìm nạp một mô-đun cấp ba không xác định đóng vai trò là một chương trình pháp y.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
Lá chắn chống lại các mối đe dọa nội bộ: Quản lý tư thế bảo mật SaaS Master
Lo lắng về các mối đe dọa nội bộ? Chúng tôi đã có bạn bảo hiểm! Tham gia hội thảo trực tuyến này để khám phá các chiến lược thực tế và bí mật của bảo mật chủ động với Quản lý tư thế bảo mật SaaS.
tham gia ngay hôm nay
“Việc phát hiện ra WyrmSpy và DragonEgg là một lời nhắc nhở về mối đe dọa ngày càng tăng do phần mềm độc hại Android tiên tiến gây ra”, Kristina Balaam, nhà nghiên cứu mối đe dọa cấp cao tại Lookout, cho biết. “Các gói phần mềm gián điệp này rất tinh vi và có thể được sử dụng để thu thập nhiều loại dữ liệu từ các thiết bị bị nhiễm.”
Những phát hiện này được đưa ra khi Mandiant tiết lộ các chiến thuật đang phát triển được các nhóm gián điệp Trung Quốc áp dụng để bay theo radar, bao gồm vũ khí hóa các thiết bị mạng và phần mềm ảo hóa, sử dụng botnet để làm xáo trộn lưu lượng giữa cơ sở hạ tầng C2 và môi trường nạn nhân, đồng thời tạo đường hầm cho lưu lượng độc hại bên trong mạng nạn nhân thông qua các hệ thống bị xâm nhập.
Công ty tình báo mối đe dọa thuộc sở hữu của Google cho biết: “Việc sử dụng botnet, ủy quyền lưu lượng truy cập trong mạng bị xâm nhập và nhắm mục tiêu vào các thiết bị biên không phải là chiến thuật mới, cũng không phải là chiến thuật duy nhất đối với các tác nhân gián điệp mạng Trung Quốc”. “Tuy nhiên, trong thập kỷ qua, chúng tôi đã theo dõi việc các tác nhân gián điệp mạng Trung Quốc sử dụng những chiến thuật này và các chiến thuật khác như một phần của quá trình phát triển rộng lớn hơn hướng tới các hoạt động có mục đích, lén lút và hiệu quả hơn.”
