APT - Advanced Persistent Threat là thuật ngữ dùng để mô tả một chiến dịch tấn công sử dụng kỹ thuật cao, tiên tiến để tấn công vào điểm yếu của hệ thống. Mục tiêu của các cuộc tấn công APT được lựa chọn cẩn thận và thường là các doanh nghiệp lớn, các cơ quan an ninh và cơ quan chính phủ. Các cuộc tấn công này để lại hậu quả nặng nề như đánh cắp tài sản trí tuệ, thông tin nhạy cảm; chiếm quyền tên miền của tổ chức; cơ sở hạ tầng bị phá hủy…
Nhóm APT FunnyDream
Các chuyên gia bảo mật tại BitDefender đã phát hiện ra một nhóm gián điệp mạng mới có liên hệ với Trung Quốc, được đặt tên là FunnyDream. Nhóm này đã phát tán mã độc tới hơn 200 hệ thống trên khắp Đông Nam Á trong hai năm qua.
Theo Kaspersky Lab, FunnyDream đã hoạt động ít nhất kể từ năm 2018 và nhắm mục tiêu đến các mục tiêu lớn ở Malaysia, Đài Loan và Philippines. Đặc biệt, nhóm nhắm mục tiêu đến nạn nhân ở Việt Nam và các tổ chức chính phủ nước ngoài tại các nước trong khu vực Đông Nam Á. FunnyDream vẫn đang hoạt động và duy trì sự tồn tại lâu dài trong mạng lưới của nạn nhân, theo dõi hoạt động và thu thập các tài liệu nhạy cảm, đặc biệt quan tâm đến thông tin về an ninh quốc gia và gián điệp công nghiệp.
Trong các chiến dịch tấn công, FunnyDream đã sử dụng một lượng lớn các biến thể của mã độc dạng Dropper, cổng hậu (backdoor) và các công cụ liên quan đến mã độc Chinoxy, PCShare RAT và FunnyDream. Các công cụ mã độc dạng RAT này có nguồn gốc từ Trung Quốc, với một số thành phần sử dụng tiếng Trung Quốc. Tên của nhóm xuất phát từ một backdoor nguy hiểm được sử dụng trong chính các cuộc tấn công của nhóm.
Sự giống nhau về phương thức sử dụng trong các cuộc tấn công
Theo phân tích bởi các nhà nghiên cứu Bitdefender, các cuộc tấn công thường sử dụng ba loại mã độc là Chinoxy, PCShare và FunnyDream. Funny Dream đã sử dụng cùng một quy trình để tấn công cho các chiến dịch. Bắt đầu bằng việc cài đặt mã độc cửa hậu Chinoxy, nhóm tin tặc này sẽ cài đặt mã độc và duy trì sự kết nối lâu dài tới hệ thống của nạn nhân sau lần truy cập đầu tiên.
Chinoxy Dropper sử dụng một tập tin thực thi được ký điện tử (gọi là Logitech Bluetooth Wizard Host Process) nhằm lẩn tránh sự phát hiện của các giải pháp an toàn thông tin và thực hiện tấn công kênh kề nhằm tải tập tin DLL backdoor vào bộ nhớ.
Sau đó, backdoor thực thi mã nguồn mở RAT được gọi là PcShare, để thu thập thông tin tình báo từ các máy chủ bị nhiễm. Tiếp đến, kẻ tấn công cài đặt FunnyDream là một mã độc cửa hậu đã được tùy chỉnh để hỗ trợ khả năng liên lạc và có độ bền bỉ nâng cao. Backdoor này sử dụng để thu thập thông tin tình báo và lọc dữ liệu.
Các tập tin được nhóm APT sử dụng phần lớn là ở dạng tập tin DLL, nhưng cũng có lúc là các tập tin thực thi dạng EXE với tên được đặt khác nhau cho mỗi cuộc tấn công. Điều này chứng tỏ các cuộc tấn công được thi thực riêng biệt và sử dụng các tập tin có chứa mã độc được tùy chỉnh cho từng đối tượng mục tiêu.
Timeline cho các mã độc được nhóm FunnyDream sử dụng
Sau khi phân tích, các nhà nghiên cứu đã tìm ra máy chủ điều khiển của nhóm FunnyDream do tên miền và địa chỉ của máy chủ quản trị được gán tĩnh trong tập tin thực thi. Hầu hết các máy chủ đặt ở Hồng Kông, ngoại trừ 3 máy chủ đặt ở Việt Nam, Trung Quốc và Hàn Quốc.
Khó khăn trong việc phòng chống các cuộc tấn công APT
Trong các cuộc tấn công APT, kẻ tấn công thường sử dụng các kỹ thuật cao để duy trì sự tồn tại trong hệ thống nạn nhân. Bên cạnh đó, chúng cũng áp dụng các biện pháp kỹ thuật để qua mặt các hệ thống Antivirus, Endpont Detection Response. Điều này khiến cho việc phát hiện các cuộc tấn công APT rất khó khăn và thường chỉ phát hiện được khi các tấn công đã diễn ra trong một thời gian dài.
Theo các chuyên gia, điều tốt nhất để phòng chống tấn công APT đó là đầu tư đồng bộ nhân lực và vật lực, thuê các chuyên gia hoặc tổ chức cung cấp dịch vụ an toàn thông tin chuyên nghiệp để giám sát các hệ thống 24/7, cũng như triển khai đào tạo để nâng cao nhận thức cho cán bộ, nhân viên trong việc sử dụng Internet an toàn.
Đăng Thứ (Theo cybersecurity-help)
09:00 | 02/12/2020
09:00 | 26/01/2021
08:00 | 28/04/2021
15:00 | 22/04/2021
09:00 | 16/09/2020
14:00 | 13/08/2020
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
14:00 | 19/12/2023
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024