Theo các nhà nghiên cứu của Trend Micro đang thực hiện theo dõi hoạt động của nhóm tin tặc thì chiến dịch này đã được tiến hành từ đầu năm 2022 và tập trung chủ yếu vào các tổ chức chính phủ. Trong số các tổ chức mà nhóm tin tặc này tấn công, chúng đã thực hiện xâm phạm 48 tổ chức của chính phủ, trong đó có 10 tổ chức là Bộ Ngoại giao và nhắm mục tiêu vào 49 cơ quan chính phủ khác.
Bản đồ nạn nhân (màu đỏ) và mục tiêu (màu vàng) của nhóm tin tặc Earth Krahang
Nhóm tin tặc này đã thực hiện khai thác các máy chủ kết nối Internet dễ bị tấn công và sử dụng các email lừa đảo trực tuyến để triển khai các backdoor tùy chỉnh cho hoạt động gián điệp mạng.
Earth Krahang lợi dụng việc xâm nhập thành công trên cơ sở hạ tầng của chính phủ bị vi phạm để tấn công các chính phủ khác, xây dựng máy chủ VPN trên các hệ thống bị xâm nhập và thực hiện hành vi bẻ khóa mật khẩu đối với các tài khoản email có giá trị.
Nhóm tin tặc sử dụng các công cụ mã nguồn mở để quét các máy chủ công khai nhằm tìm các lỗ hổng cụ thể, chẳng hạn như CVE-2023-32315 (Openfire) và CVE-2022-21587 (Control Web Panel).
Bằng cách khai thác những lỗ hổng này, chúng triển khai các webshell để có được quyền truy cập trái phép và thiết lập quyền kiểm soát trong mạng nạn nhân. Ngoài ra, chúng còn sử dụng lừa đảo trực tuyến làm phương tiện truy cập ban đầu, với các tin nhắn có chủ đề xoay quanh vấn đề địa chính trị để dụ người nhận mở tệp đính kèm hoặc nhấp vào liên kết độc hại.
Khi thực hiện xâm nhập thành công vào hệ thống mạng mục tiêu, Earth Krahang sử dụng cơ sở hạ tầng của nạn nhân để lưu trữ các tải trọng độc hại, lưu lượng tấn công proxy và sử dụng các tài khoản email chính phủ đã bị tấn công để nhắm mục tiêu vào các tài khoản cùng tổ chức hoặc các chính phủ khác bằng các email lừa đảo trực tuyến.
Báo cáo của Trend Micro cho biết: “Chúng tôi nhận thấy rằng Earth Krahang sử dụng hàng trăm địa chỉ email từ mục tiêu của họ trong giai đoạn trinh sát. Trong một trường hợp, kẻ tấn công đã sử dụng hộp thư bị xâm nhập từ một cơ quan chính phủ để gửi tệp đính kèm độc hại tới 796 địa chỉ email thuộc cùng cơ quan đó”.
Tập lệnh được sử dụng để gửi email từ tài khoản bị xâm nhập
Những email này chứa các tệp đính kèm độc hại tạo ra các backdoor xâm nhập vào máy tính của nạn nhân, lây lan sự lây nhiễm và tránh bị phát hiện. Trend Micro cho biết những kẻ tấn công sử dụng các tài khoản Outlook bị xâm nhập để thực hiện đăng nhập Exchange và các tập lệnh Python chuyên lấy cắp email từ máy chủ Zimbra cũng bị phát hiện.
Tập lệnh Python để thu thập dữ liệu email
Nhóm tin tặc cũng xây dựng các máy chủ VPN trên các máy chủ bị xâm nhập bằng cách sử dụng SoftEtherVPN để thiết lập quyền truy cập vào mạng riêng của nạn nhân và nâng cao khả năng di chuyển ngang trong các mạng đó. Sau khi thiết lập sự hiện diện của mình trên mạng, Eath Krahang triển khai phần mềm độc hại và các công cụ như Cobalt Strike, RESHELL và XDealer, cung cấp khả năng thực thi lệnh và thu thập dữ liệu.
XDealer là một trong hai backdoor tinh vi và phức tạp vì nó hỗ trợ Linux và Windows, đồng thời có thể chụp ảnh màn hình, ghi lại các lần nhấn phím và chặn dữ liệu clipboard.
Mô hình tổng quan về chuỗi tấn công
Trend Micro cho biết ban đầu họ tìm thấy mối liên hệ giữa Earth Krahang và Earth Lusca, có liên quan đến Trung Quốc, dựa trên sự chồng chéo chỉ huy và kiểm soát (C2), nhưng các chuyên gia cho rằng đây là hai nhóm riêng biệt, có thể cả hai nhóm này đều hoạt động dưới sự chỉ đạo của Trung Quốc và hoạt động như một lực lượng đặc nhiệm chuyên trách gián điệp mạng nhằm vào các cơ quan chính phủ.
Ngoài ra, công cụ RESHELL trước đây đã được liên kết với nhóm Gallium, XDealer và Luoyu. Tuy nhiên, theo Trend Micro cho rằng những công cụ này có thể được chia sẻ giữa các nhóm tin tặc và mỗi nhóm sẽ sử dụng một khóa mã hóa riêng biệt.
Quốc Trường
14:00 | 05/03/2024
09:00 | 01/04/2024
09:00 | 06/03/2024
10:00 | 21/02/2024
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
