“Những kẻ tấn công đã sử dụng tên mã hóa cứng của các dịch vụ nội bộ, địa chỉ IP và máy chủ proxy được nhúng trong phần mềm độc hại của chúng”, các nhà nghiên cứu Denis Kulik và Daniil Pogorelov của hãng bảo mật Kaspersky cho biết.
APT41 là biệt danh của một nhóm tin tặc quốc gia Trung Quốc nổi tiếng với mục tiêu là các tổ chức thuộc nhiều lĩnh vực, bao gồm các nhà cung cấp viễn thông và năng lượng, các tổ chức giáo dục, tổ chức chăm sóc sức khỏe, các công ty năng lượng và công nghệ thông tin tại hơn 30 quốc gia.
Điều đáng chú ý của chiến dịch này là nó tập trung vào châu Phi, khu vực mà theo như Kaspersky đã lưu ý, “có ít hoạt động nhất” từ tác nhân đe dọa cụ thể này. Tuy nhiên, những phát hiện mới nhất phù hợp với các quan sát trước đây của hãng bảo mật Trend Micro (Mỹ) rằng, lục địa này đã nằm trong tầm ngắm của các tác nhân đe dọa kể từ cuối năm 2022.
Kaspersky cho biết họ đã bắt đầu một cuộc phân tích sau khi phát hiện hoạt động đáng ngờ trên nhiều máy trạm, liên quan đến cơ sở hạ tầng công nghệ thông tin của một tổ chức giấu tên, trong đó kẻ tấn công chạy lệnh để xác định tính khả dụng của máy chủ điều khiển và ra lệnh (C2), trực tiếp hoặc thông qua máy chủ proxy nội bộ trong thực thể bị xâm phạm. “Nguồn gốc của hoạt động đáng ngờ thực tế lại là một máy chủ không được giám sát đã bị xâm nhập trước đó”, các nhà nghiên cứu lưu ý.
Ngay sau đó, những kẻ tấn công đã thu thập thông tin đăng nhập liên quan đến các tài khoản có quyền cao, từ đó tạo điều kiện cho việc leo thang đặc quyền và di chuyển ngang hàng, cuối cùng triển khai Cobalt Strike cho giao tiếp C2 bằng cách sử dụng kỹ thuật DLL sideloading.
Hình 1. Chuyển động ngang qua các tài khoản đặc quyền
Các DLL độc hại sẽ kiểm tra các gói ngôn ngữ được cài đặt trên máy chủ, chỉ tiến hành thực thi nếu các gói ngôn ngữ sau không được phát hiện: tiếng Nhật, tiếng Hàn (Hàn Quốc), tiếng Trung (Trung Quốc đại lục) và tiếng Trung (Đài Loan). Cuộc tấn công này được đặc trưng bởi việc sử dụng máy chủ SharePoint bị tấn công cho giao tiếp C2, sử dụng máy chủ này để gửi các lệnh do phần mềm độc hại tải lên máy chủ của nạn nhân và thực thi.
Theo các nhà nghiên cứu, các tin tặc đã phân phối các tệp agents[.]exe và agentx[.]exe qua giao thức SMB để giao tiếp với máy chủ. Mỗi tệp này thực chất là một trojan C#, có chức năng chính là thực thi các lệnh nhận được từ một web shell có tên CommandHandler[.]aspx, được cài đặt trên máy chủ SharePoint.
Phương pháp này kết hợp việc triển khai phần mềm độc hại truyền thống, trong đó các dịch vụ đáng tin cậy như SharePoint được biến thành các kênh kiểm soát bí mật. Những hành vi này phù hợp với các kỹ thuật được phân loại trong MITRE ATT&CK, bao gồm T1071.001 (giao thức Web) và T1047 (WMI), khiến chúng khó bị phát hiện chỉ bằng các công cụ dựa trên chữ ký.
Hơn nữa, các tác nhân đe dọa đã bị phát hiện đang thực hiện các hoạt động tiếp theo trên các máy tính được coi là có giá trị sau khi trinh sát ban đầu. Việc này được thực hiện bằng cách chạy lệnh cmd[.]exe để tải xuống từ nguồn bên ngoài một tệp ứng dụng HTML (HTA) độc hại, có chứa JavaScript và chạy nó bằng mshta[.]exe.
Bản chất chính xác của payload được phân phối thông qua URL bên ngoài. Vào thời điểm điều tra, một tập lệnh vô hại đã được tải xuống từ github[.]githubassets[.]net thay vì một tập lệnh độc hại. Điều này có thể được thực hiện để che giấu hoạt động và làm phức tạp thêm việc phân tích tấn công.
Tuy nhiên, phân tích một trong những tập lệnh đã được phân phối trước đó cho thấy nó được thiết kế để tạo ra một reverse shell, từ đó cho phép kẻ tấn công thực thi các lệnh trên hệ thống bị nhiễm.
Hình 2. Tập lệnh vô hại được tìm thấy trên github[.]githubassets[.]net
Các công cụ đánh cắp thông tin cũng được sử dụng trong các cuộc tấn công này, nhằm thu thập dữ liệu nhạy cảm thông qua máy chủ SharePoint. Dưới đây là một số công cụ được kẻ tấn công triển khai:
- Pillager: Mặc dù là phiên bản đã sửa đổi, với mục tiêu đánh cắp thông tin đăng nhập từ trình duyệt, cơ sở dữ liệu và các tiện ích quản trị như MobaXterm; mã nguồn; ảnh chụp màn hình; phiên trò chuyện và dữ liệu; tin nhắn email; phiên SSH và FTP; danh sách các ứng dụng đã cài đặt; đầu ra của lệnh systeminfo và tasklist; thông tin tài khoản từ các ứng dụng trò chuyện và ứng dụng email.
- RawCopy: Sao chép các tệp tin registry
- Mimikatz: Xóa thông tin đăng nhập tài khoản.
.png)
Hình 3. Do thám và đánh cắp dữ liệu nhạy cảm
“Những kẻ tấn công sử dụng một loạt các công cụ, bao gồm công cụ được thiết kế riêng lẫn công khai. Trong đó, chúng sử dụng các công cụ kiểm tra xâm nhập như Cobalt Strike ở nhiều giai đoạn khác nhau của một cuộc tấn công. Các tin tặc nhanh chóng thích nghi với cơ sở hạ tầng của mục tiêu, cập nhật các công cụ độc hại để phù hợp với các đặc điểm cụ thể. Chúng thậm chí có thể lợi dụng các dịch vụ nội bộ để liên lạc với máy chủ C2 và đánh cắp dữ liệu”, Kaspersky cho biết.
