Tin tặc gián điệp Trung Quốc nhắm mục tiêu người Tây Tạng bằng cách sử dụng cửa sau LOWZERO mới

Tin tặc gián điệp Trung Quốc

Một tác nhân đe dọa dai dẳng nâng cao do Trung Quốc liên kết với tên gọi TA413 đã vũ khí hóa các lỗ hổng được tiết lộ gần đây trong Firewall và Office để triển khai một cửa sau chưa từng thấy có tên LOWZERO như một phần của chiến dịch gián điệp nhắm vào các thực thể Tây Tạng.

Mục tiêu chủ yếu bao gồm các tổ chức liên kết với cộng đồng Tây Tạng, bao gồm cả các doanh nghiệp liên kết với chính phủ Tây Tạng lưu vong.

Các cuộc xâm nhập liên quan đến việc khai thác CVE-2022-1040 và CVE-2022-30190 (hay còn gọi là “Follina”), hai lỗ hổng thực thi mã từ xa tương ứng trong Sophos Firewall và Microsoft Office.

“Sự sẵn sàng nhanh chóng kết hợp các kỹ thuật mới và phương pháp tiếp cận ban đầu trái ngược với việc nhóm tiếp tục sử dụng các khả năng đã được báo cáo và nổi tiếng, chẳng hạn như thiết bị vũ khí Royal Road RTF và các xu hướng mua sắm cơ sở hạ tầng thường lỏng lẻo”, Recorded Future cho biết trong một phân tích kỹ thuật mới .

TA413, còn được gọi là LuckyCat, đã được liên kết để nhắm mục tiêu không ngừng vào các tổ chức và cá nhân có liên kết với cộng đồng Tây Tạng ít nhất kể từ năm 2020 bằng cách sử dụng như ExileRAT, Sepulcher và một tiện ích mở rộng trình duyệt Mozilla Firefox độc hại có tên FriarFox.

Xem tiếp:   Tin tặc Trung Quốc nhắm mục tiêu vào lĩnh vực giao dịch tài chính của Đài Loan bằng cuộc tấn công chuỗi cung ứng

Tin tặc gián điệp Trung Quốc

Việc khai thác lỗ hổng Follina của nhóm trước đây đã được Proofpoint nêu rõ vào tháng 6 năm 2022, mặc dù mục tiêu cuối cùng của các chuỗi lây nhiễm vẫn chưa rõ ràng.

Cũng được đưa vào sử dụng trong một cuộc tấn công lừa đảo trực tuyến được xác định vào tháng 5 năm 2022 là một tài liệu RTF độc hại đã khai thác các lỗ hổng trong Microsoft Equation Editor để làm rơi mô cấy LOWZERO tùy chỉnh. Điều này đạt được bằng cách sử dụng một công cụ vũ khí Royal Road RTF, được chia sẻ rộng rãi giữa các tác nhân đe dọa Trung Quốc.

Trong một email lừa đảo khác được gửi tới một mục tiêu là người Tây Tạng vào cuối tháng 5, tệp đính kèm Microsoft Word được lưu trữ trên dịch vụ Google Firebase đã cố gắng tận dụng lỗ hổng Follina để thực thi lệnh PowerShell được thiết kế để tải xuống cửa sau từ máy chủ từ xa.

LOWZERO, backdoor, có khả năng nhận các mô-đun bổ sung từ máy chủ chỉ huy và kiểm soát (C2) của nó, nhưng chỉ với điều kiện là máy bị xâm nhập được coi là quan tâm của tác nhân đe dọa.

“Nhóm tiếp tục kết hợp các khả năng mới đồng thời dựa trên [tactics, techniques, and procedures,” the cybersecurity firm said.

“TA413's adoption of both zero-day and recently published vulnerabilities is indicative of wider trends with Chinese cyber-espionage groups whereby exploits regularly appear in use by multiple distinct Chinese activity groups prior to their widespread public availability.”

Xem tiếp:   Microsoft phát hành bản vá cho 2 Windows Zero-Days và 126 lỗ hổng bảo mật khác

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …