Tin tặc LuoYu Trung Quốc sử dụng các cuộc tấn công Man-on-the-Side để triển khai WinDealer Backdoor

WinDealer Backdoor

Một diễn viên được lồng tiếng là mối đe dọa dai dẳng nâng cao (APT) “cực kỳ tinh vi” nói tiếng Trung Quốc LuoYu đã được quan sát thấy bằng cách sử dụng một công cụ Windows độc hại có tên là được phân phối bằng các cuộc tấn công từ phía người dùng.

Công ty an ninh mạng Kaspersky của Nga cho biết trong một báo cáo mới: “Sự phát triển đột phá này cho phép tác nhân sửa đổi lưu lượng mạng trong quá trình vận chuyển để chèn các tải trọng độc hại”. “Các cuộc tấn công như vậy đặc biệt nguy hiểm và tàn phá vì chúng không yêu cầu bất kỳ tương tác nào với mục tiêu để dẫn đến lây nhiễm thành công.”

Được biết là hoạt động tích cực từ năm 2008, các tổ chức mà LuoYu nhắm đến chủ yếu là các tổ chức ngoại giao nước ngoài được thành lập tại Trung Quốc và các thành viên của cộng đồng học thuật cũng như các công ty tài chính, quốc phòng, hậu cần và viễn thông.

Việc LuoYu sử dụng WinDealer lần đầu tiên được ghi nhận bởi công ty an ninh mạng Đài Loan TeamT5 tại Hội nghị nhà phân tích bảo mật Nhật Bản (JSAC) vào tháng 1 năm 2021. Các chiến dịch tấn công tiếp theo đã sử dụng độc hại này để nhắm mục tiêu vào các thực thể Nhật Bản, với các trường hợp lây nhiễm biệt lập được báo cáo ở Áo, Đức, Ấn Độ, Nga, và Mỹ

Xem tiếp:   Bảo vệ mối đe dọa trên mạng - Tất cả đều bắt đầu với khả năng hiển thị

Các công cụ khác nằm trong kho vũ khí của đối thủ bao gồm PlugX và ShadowPad kế nhiệm của nó, cả hai đều đã được nhiều đối tượng đe dọa Trung Quốc sử dụng để thực hiện các mục tiêu chiến lược của họ. Ngoài ra, diễn viên được biết là nhắm mục tiêu các thiết bị Linux, macOS và Android.

WinDealer, về phần mình, trước đây đã được phân phối thông qua các trang web hoạt động như những lỗ hổng và dưới dạng các ứng dụng trojanized giả mạo như các dịch vụ lưu trữ video và nhắn tin tức thì như Tencent QQ và Youku.

Tuy nhiên, vectơ lây nhiễm kể từ đó đã được giao dịch cho một phương thức phân phối khác sử dụng cơ chế cập nhật tự động của các ứng dụng hợp pháp được chọn để phục vụ phiên bản thực thi bị xâm phạm trong “những trường hợp hiếm hoi”.

WinDealer, một nền tảng phần mềm độc hại mô-đun ở cốt lõi của nó, đi kèm với tất cả các chuông và còi thông thường được liên kết với một cửa sau, cho phép nó lưu trữ thông tin nhạy cảm, chụp ảnh màn hình và thực hiện các lệnh tùy ý.

Nhưng điểm khác biệt của nó là việc sử dụng thuật toán tạo IP để chọn một máy chủ điều khiển và kiểm soát (C2) để kết nối ngẫu nhiên từ một nhóm gồm 48.000 địa chỉ IP.

Xem tiếp:   người Trung Quốc

Công ty cho biết: “Cách duy nhất để giải thích những hành vi mạng dường như không thể này là giả định sự tồn tại của một kẻ tấn công trực diện, kẻ có thể chặn tất cả lưu lượng mạng và thậm chí sửa đổi nó nếu cần”.

Một cuộc tấn công giữa các bên, tương tự như một cuộc tấn công giữa các bên, cho phép kẻ gian lừa đảo đọc và đưa các tin nhắn tùy ý vào một kênh liên lạc, nhưng không thể sửa đổi hoặc xóa các tin nhắn do các bên khác gửi.

Những cuộc xâm nhập như vậy thường dựa vào thời gian chiến lược các tin nhắn của chúng sao cho phản hồi độc hại có chứa dữ liệu do kẻ tấn công cung cấp được gửi theo yêu cầu của nạn nhân về tài nguyên web trước phản hồi thực sự từ máy chủ.

Kaspersky chỉ ra rằng việc kẻ đe dọa có thể kiểm soát một loạt địa chỉ IP lớn như vậy cũng có thể giải thích cho việc chiếm quyền điều khiển cơ chế cập nhật liên kết với các ứng dụng chính hãng để cung cấp tải trọng WinDealer.

Nhà nghiên cứu bảo mật Suguru Ishimaru cho biết: “Các cuộc tấn công từ phía người khác là cực kỳ hủy diệt vì điều kiện duy nhất cần thiết để tấn công một thiết bị là thiết bị đó phải được kết nối với internet”.

“Bất kể cuộc tấn công được thực hiện như thế nào, cách duy nhất để các nạn nhân tiềm năng tự vệ là phải hết sức cảnh giác và có các quy trình bảo mật mạnh mẽ, chẳng hạn như quét chống vi-rút thường xuyên, phân tích lưu lượng mạng ra ngoài và ghi nhật ký mở rộng để phát hiện các điểm bất thường. “

Xem tiếp:   Tin tặc 'Mustang Panda' Trung Quốc phát hiện triển khai phần mềm độc hại 'Hodur' mới

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …