Phó Thủ tướng Phạm Bình Minh » Quốc phòng - Biển đảo » Gián điệp mạng RANCOR tấn công tổ chức chính trị ở Đông Nam Á

(Không gian mạng) - Ngày 26/06, hãng bảo mật Palo Alto Networks (Mỹ) báo cáo phát hiện nhóm gián điệp mạng mới là RANCOR đang nhắm mục tiêu vào các tổ chức ở Đông Nam Á.

1_73842

Theo các chuyên gia, nhóm RANCOR APT nhắm vào những tổ chức chính trị ở Singapore, Campuchia, Thái Lan và nhiều nước khác, sử dụng 2 loại mã độc cũ là DDKONG và PLAINTEE.

Tin tặc sử dụng email giả mạo đính kèm tài liệu độc có nội dung lấy từ các bài báo về tin tức và sự kiện chính trị. Những tài liệu mồi nhử này được lưu trên các trang web hợp pháp như website của Chính phủ Campuchia và Facebook.

Báo cáo cho biết: “Trong suốt năm 2017 và 2018, Đơn vị Unit 42 đã theo dõi và quan sát hàng loại cuộc tấn công nhắm mục tiêu cao cấp tập trung ở Đông Nam Á, nghiên cứu về mã độc KHRAT trojan”.

“Chứng cứ tìm được cho thấy, những cuộc tấn công này dường như được thực hiện bởi cùng 1 nhóm tin tặc đã sử dụng loại mã độc trước đó. Ngoài ra, những cuộc tấn công này cũng nhắm mục tiêu cao độ vào việc phát tán mã độc cũng như đối tượng lây nhiễm. Dựa vào các yếu tố trên, Unit 42 tin rằng tin tặc triển khai các cuộc tấn công này với mục đích gián điệp”.

Chiến dịch mới này dường như có liên quan đến mã độc KHRAT, một backdoor được gắn kết với nhóm APT Trung Quốc DragonOK (hay còn được gọi là NetTraveler, TravNet, PlugX, Saker, Netbot, DarkStRat, ZeroT i).

Mã độc KHRAT RAT mang các tính năng đặc trưng của một mã độc RAT, như truy cập vào hệ thống của nạn nhân từ xa, theo dõi thao tác bàn phím (keylogging), và truy cập vào chương trình dòng lệnh (remote shell access).

Một trong những địa chỉ IP của các tên miền liên quan đến backdoor KHRAT đã dẫn chuyên gia phân tích đến những website bắt chước các công ty công nghệ nổi tiếng (như facebook-apps[.]com). Khi các chuyên gia kết nối mã độc PLAINTEE và 1 trình loader đến tên miền này, họ chỉ có thể phân tích được 6 mẫu mã độc có liên quan với 2 cụm cơ sở hạ tầng riêng biệt.

Và Palo Alto phát hiện rằng 2 cụm này đều tham gia vào những chiến dịch nhắm đến các tổ chức ở Đông Nam Á.

Có ít nhất 1 cuộc tấn công nhắm vào một công ty bằng cách sử dụng tài liệu Microsoft Office Excel chứa macro thực thi mã độc. Mã độc được dấu trong thẻ metadata EXIF của tài liệu. Đây là một kỹ thuật từng được nhóm APT Sofacy của Nga sử dụng vào năm 2017.

Các chuyên gia cũng phát hiện một cuộc tấn công khác sử dụng tập HTML Application (.hta) và nhiều cuộc tấn công sử dụng trình tải DLL loader.

“Chúng tôi phát hiện 3 trình tải DLL loader đặc biệt trong suốt quá trình phân tích. Những loader này cực kỳ đơn giản với duy chỉ chức năng trích xuất, có nhiệm vụ thực thi một lệnh đơn lẻ”, báo cáo nói.

Mã độc DDKONG lần đầu bị phát hiện vào tháng 02/2017 và từng được các tin tặc khác dùng tới, còn PLAINTEE lại là mã độc độc quyền sử dụng của RANCOR.

Một đặc điểm thú vị của PLAINTEE là nó sử dụng giao thức UDP tùy chỉnh để liên lạc trong hệ thống.

Palo Alto Networks nhận định: “Chiến dịch của RANCOR cho thấy xu hướng không ngừng của các cuộc tấn công nhắm vào những tổ chức tại Đông Nam Á. Trong nhiều trường hợp, mồi nhử lấy động cơ từ chính trị được sử dụng để lôi kéo nạn nhân mở và tải về những mã độc chưa từng được biết đến vào lúc đó. Các họ mã độc này lợi dụng mạng lưới liên lạc tùy chỉnh để tải và thực thi nhiều plugin khác từ máy chủ tin tặc”.

Lâm Quang Dũng (Lược dịch từ: Security Affairs)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Kết bạn với Phó Thủ tướng trên Facebook
Thích và chia sẻ bài này trên Facebook
Share on Link Hay! Share on Facebook! Tweet This!