Tin tặc Trung Quốc bị bắt trộm tài sản trí tuệ từ các công ty đa quốc gia

Hoạt động CuckooBees

Một chiến dịch gián điệp mạng tinh vi và khó nắm bắt được tổ chức bởi nhóm Winnti do Trung Quốc hậu thuẫn đã tìm cách bay trong tầm ngắm ít nhất là từ năm 2019.

Được công ty an ninh mạng Cybereason của Israel mệnh danh là “Chiến dịch CuckooBees”, hoạt động đánh cắp tài sản trí tuệ quy mô lớn đã cho phép kẻ đe dọa lấy ra hàng trăm gigabyte thông tin.

Các mục tiêu bao gồm các công ty và sản xuất chủ yếu ở Đông Á, Tây Âu và Bắc Mỹ.

Các nhà nghiên cứu cho biết: “Những kẻ tấn công nhắm mục tiêu vào tài sản trí tuệ do nạn nhân phát triển, bao gồm các tài liệu nhạy cảm, bản thiết kế, sơ đồ, công thức và dữ liệu độc quyền liên quan đến sản xuất”.

“Ngoài ra, những kẻ tấn công đã thu thập thông tin có thể được sử dụng cho các cuộc tấn công mạng trong tương lai, chẳng hạn như chi tiết về các đơn vị kinh doanh của công ty mục tiêu, kiến ​​trúc mạng, tài khoản người dùng và thông tin đăng nhập, email của nhân viên và dữ liệu khách hàng.”

Winnti, cũng được theo dõi bởi các nhà cung cấp an ninh mạng khác dưới tên APT41, Axiom, Barium và Bronze Atlas, được biết là đã hoạt động ít nhất từ ​​năm 2007.

“Mục đích của nhóm là đánh cắp tài sản trí tuệ từ các tổ chức ở các nền kinh tế phát triển và với sự tin tưởng vừa phải rằng điều này thay mặt Trung Quốc để hỗ trợ việc ra quyết định trong một loạt các lĩnh vực kinh tế của Trung Quốc”, Secureworks lưu ý trong hồ sơ đe dọa của diễn viên.

Xem tiếp:   Tin tặc Bắc Triều Tiên khai thác Chrome Zero-day để nhắm mục tiêu Fintech, CNTT và các công ty truyền thông

Chuỗi lây nhiễm đa giai đoạn được ghi nhận bởi Cybereason liên quan đến việc khai thác các máy chủ sử dụng internet để triển khai web shell với mục tiêu thực hiện các hoạt động do thám, di chuyển bên và xâm nhập dữ liệu.

Nó vừa phức tạp vừa phức tạp, theo cách tiếp cận “ngôi nhà của các thẻ” trong đó mỗi thành phần của killchain phụ thuộc vào các mô-đun khác để hoạt động, việc hiển thị phân tích cực kỳ khó khăn.

Tin tặc Trung Quốc

Các nhà nghiên cứu giải thích: “Điều này chứng tỏ suy nghĩ và nỗ lực đã được đưa vào cả độc hại và bảo mật hoạt động, khiến nó gần như không thể phân tích trừ khi tất cả các mảnh ghép được lắp ráp theo đúng thứ tự,” các nhà nghiên cứu giải thích.

Việc thu thập dữ liệu được thực hiện dễ dàng nhờ một trình tải mô-đun có tên là Spyder, được sử dụng để giải mã và tải thêm các tải trọng bổ sung. Cũng được sử dụng là bốn trọng tải khác nhau – STASHLOG, SPARKLOG, PRIVATELOG và DEPLOYLOG – được triển khai tuần tự để thả WINNKIT, một rootkit cấp nhân.

Điều quan trọng đối với sự lén lút của chiến dịch là việc sử dụng các kỹ thuật “hiếm thấy” như lạm dụng cơ chế Hệ thống tệp nhật ký chung của Windows (CLFS) để lưu trữ các tải trọng, cho phép nhóm hack che giấu tải trọng của họ và tránh bị các sản phẩm bảo mật truyền thống phát hiện. .

Xem tiếp:   Các hệ thống được tin tặc kiểm duyệt tại Đại hội Thể thao Quốc gia của Trung Quốc ngay trước khi thi đấu

Điều thú vị là các phần của chuỗi tấn công trước đó đã được Mandiant trình bày chi tiết vào tháng 9 năm 2021, đồng thời chỉ ra việc lạm dụng CLFS để che giấu các trọng tải giai đoạn hai nhằm tránh bị phát hiện.

Công ty an ninh mạng đã quy này cho một tác nhân không xác định, nhưng cảnh báo rằng nó có thể đã được triển khai như một phần của một hoạt động được nhắm mục tiêu cao.

Mandiant cho biết: “Bởi vì định dạng tệp không được sử dụng rộng rãi hoặc được lập thành tài liệu, không có công cụ khả dụng nào có thể phân tích cú pháp tệp nhật ký CLFS,” Mandiant cho biết vào thời điểm đó. “Điều này cung cấp cho những kẻ tấn công cơ hội để ẩn dữ liệu của họ dưới dạng bản ghi nhật ký một cách thuận tiện, vì chúng có thể truy cập được thông qua các hàm API.”

Về phần mình, WINNKIT có dấu thời gian biên dịch là tháng 5 năm 2019 và có tỷ lệ phát hiện gần như bằng không trong VirusTotal, làm nổi bật bản chất lẩn tránh của phần mềm độc hại đã cho phép các tác giả không bị phát hiện trong nhiều năm.

Các nhà nghiên cứu đánh giá, mục tiêu cuối cùng của các cuộc xâm nhập là lấy thông tin độc quyền, tài liệu nghiên cứu, mã nguồn và bản thiết kế cho các công nghệ khác nhau.

Xem tiếp:   GitHub cho biết tin tặc đã xâm nhập hàng chục tổ chức bằng cách sử dụng mã thông báo truy cập OAuth bị đánh cắp

Cybereason nói: “Winnti là một trong những nhóm siêng năng nhất hoạt động vì lợi ích của nhà nước Trung Quốc. “Các mối đe dọa [actor] đã sử dụng một chuỗi lây nhiễm phức tạp, nhiều giai đoạn, điều này rất quan trọng để giúp nhóm này không bị phát hiện trong thời gian dài. “

.

Related Posts

Check Also

Tin tặc ngày càng sử dụng các khung tự động hóa của trình duyệt cho các hoạt động độc hại

Các nhà nghiên cứu an ninh mạng đang kêu gọi sự chú ý đến một …