Tin tặc tấn công có chủ đích vào cơ quan Chính phủ Việt Nam để khai thác thông tin về Hội nghị APEC

15:14 | 28/06/2017 | HACKER / MALWARE

Mới đây, Hãng Checkpoint và chuyên gia của Trung tâm Công nghệ thông tin và Giám sát An ninh mạng (CNTT&GSANM), Ban Cơ yếu Chính phủ đã phát hiện ra một số vụ tấn công mạng có chủ đích, nhằm vào các cơ quan Chính phủ của Việt Nam, để đánh cắp các dữ liệu nhạy cảm, đặc biệt là các dữ liệu về Hội nghị APEC. Mã độc được sử dụng để tấn công có tên Trojan.Farfli, tin tặc nước ngoài bị nghi ngờ là thủ phạm chính.

Năm 2017, Việt Nam là nước chủ nhà của Diễn đàn Hợp tác kinh tế châu Á - Thái Bình Dương (Asia - Pacific Economic Cooperation - APEC). Các hoạt động phục vụ cho Tuần lễ cấp cao APEC (diễn ra vào tháng 11/2017 tại Đà Nẵng) đã diễn ra từ cuối năm 2016. Từ đầu năm 2017 đến nay, nhiều Hội nghị quan chức cấp cao đã diễn ra tại nhiều địa điểm ở Việt Nam.

Nhằm đánh cắp các thông tin về Hội nghị APEC, từ tháng 3/2017 tin tặc đã thực hiện tấn công vào một số cơ quan Chính phủ của Việt Nam. Thủ đoạn mà các tin tặc sử dụng là đính kèm các tập tin (chứa mã độc Trojan.Farfli) trong email giả mạo gửi đến. Khi người dùng mở email, Trojan.Farfli sẽ xâm nhập vào hệ thống và đánh cắp các tài liệu, thông tin của người dùng. Mục tiêu cuối cùng của loại mã độc này là tìm kiếm và đánh cắp các nội dung có liên quan đến các đề xuất mà Chính phủ Việt Nam sẽ đưa ra tại Hội nghị cấp cao APEC sắp tới.

Các chuyên gia của Trung tâm CNTT&GSANM cho biết, mã độc Trojan.Farfli có nhiều điểm tương đồng với loại mã độc có tên PlugX (a.k.a. SOGU, Korplug) đã xuất hiện vào tháng 5 và 6/2015, tấn công vào các quốc gia thuộc khu vực châu Á – Thái Bình Dương.

Bảng 1: Các mẫu liên quan đến các hoạt động tấn công mã độc

Tin tặc tấn công có chủ đích vào cơ quan Chính phủ Việt Nam để khai thác thông tin về Hội nghị APEC

Qua theo dõi, vào các ngày 6,7,14 tháng 3/2017, đã phát hiện một máy chủ của một cơ quan thuộc chính phủ Việt Nam đã bị tấn công bằng mã độc Trojan.Farfli, với các đặc điểm sau:

- Tập tin word có tên "Hợp tác kinh tế Châu Á Thái Bình Dương năm 2017 – 2020 (mard).doc” được gửi đính kèm trong một email giả mạo. Mẫu mã độc (MD5: 293b297852eed02726be916bc43c81f4) chạy song song cùng link phim nổi tiếng Kingkong (CSIDL_COMMON_APPDATA \ basekst \ kingkong.dll) được công chiếu vào cùng thời điểm này.

Máy chủ ra lệnh và điều khiển (tên miền msdns.otzo.com) có địa chỉ IP là 45.121.146.26. Địa chỉ IP này được đăng ký bởi TheGigabit, một nhà cung cấp địa chỉ Hosting tại Malaysia.

Ngoài ra, còn phát hiện một IP từ Việt Nam gửi 2 tài liệu đến các cơ quan chính phủ vào ngày 23 và 28/3/2017 như sau:

- APEC-SMEWG Strategic Plan 2017-2020.doc (MD5: 2030ce7a53ac9846086f60c691b3f9db)

- APEC Strategic Plan 2017-2020(final).doc (MD5: bc41f57ea481c94c97e8ff23735e141b)

Khi mở các tập tin này, thì đồng thời sẽ kích hoạt mã độc và ngay lập tức mã độc này sẽ khai thác lỗ hổng có định danh CVE-2014-4114.

Khi kiểm tra hai mẫu trên, các chuyên gia đã phát hiện có mã độc kết nối tới một địa chỉ website tại Trung Quốc http://ip138.com trước khi có kết nối với máy chủ C&C: ftp.chinhphu.ddns.ms và www.microsoft.https443.org. Cả hai tên miền cùng có địa chỉ IP là 45.121.146.26 – giống với địa chỉ sử dụng trong hành vi của Trojan.Farfli ngày 6, 7 và 14 tháng 3/2017 (hình 1).

Hình 1: Kết nối C&C giữa các mẫu Trojan.Farfli

Cách thức hoạt động của mã độc Trojan.Farfli như sau:

Khi nhiễm vào máy tính, Trojan.Farfli sẽ ghi vào những vị trí sau của registry:

- %ALLUSERSPROFILE%\BaseKst\KingKong.dll

- %ALLUSERSPROFILE%\BaseKst\KingKong

- %ALLUSERSPROFILE%\BaseKst\drv1028.sys

Mã độc Trojan.Farfli payload sẽ thực thi như sau:

rundll32.exe rundll32 "%ALLUSERSPROFILE%\BaseKst\KingKong.dll", Install.

Tiếp theo Trojan.Farfli sẽ ghi vào registry để có thể chạy như một dịch vụ nền:

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MediaControl\Parameters\"serviceDll"

- "%SYSTEMROOT%\Documents and Settings\All Users\BaseKst\KingKong.dll"

Sau đó, Trojan.Farfli sẽ kết nối tới máy chủ C&C trước khi thực thi hành động và gửi các thông tin đánh cắp được đến máy chủ C&C, với các thao tác: mở một cửa sổ lệnh điều khiển từ xa; ghi lại thao tác bấm bàn phím; đánh cắp thông tin về máy tính và mạng; chụp ảnh màn hình.

Ngay sau khi phát hiện các cuộc tấn công có chủ đích này, Trung tâm CNTT&GSANM đã phát đi cảnh báo đến các cơ quan, tổ chức về thủ đoạn, hành vi và mục đích của các cuộc tấn công này. Các chuyên gia đánh giá, vì đây là cuộc tấn công có chủ đích, nên sẽ rất khó khăn cho các cơ quan trong việc phát hiện, ngăn chặn và xử lý.

Qua phân tích, các chuyên gia đã đưa ra một số khuyến cáo:

- Người dùng cần hết sức cảnh giác khi nhận được các email có các tài liệu đính kèm có tên file liên quan đến hội nghị APEC. Không nên mở file tài liệu đính kèm, nên forward email về Trung tâm CNTT&GSANM, Ban Cơ yếu Chính phủ (tklinh@bcy.gov.vn) để được kiểm tra, phân tích hoặc có thể chủ động tải lên trang http://www.virustotal.com để kiểm tra trực tuyến.

- Cập nhật bản vá lỗ hổng cho hệ điều hành máy tính, cập nhật mẫu cho chương trình diệt virus.

- Tuyệt đối không được download các chương trình phần mềm đã được bẻ khóa ở trên mạng về cài đặt và sử dụng.

- Download công cụ để kiểm tra hệ thống có bị nhiễm loại mã độc Trojan.Farfli tại đây

‹ › ×

Tin liên quan

Các mối đe dọa nhắm mục tiêu tới các cơ quan chính phủ ngày càng gia tăng

17:00 | 02/07/2021

Nghiên cứu mới đây về gian lận trong khu vực công của Cơ quan báo cáo tín dụng tiêu dùng TransUnion Mỹ nhấn mạnh, các vụ việc như chiếm đoạt tài khoản đã làm giảm lòng tin của người dùng vào các dịch vụ di động và trực tuyến của chính phủ.

Tin cùng chuyên mục

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Phân tích chiến dịch gián điệp mạng Sea Turtle của tin tặc Thổ Nhĩ Kỳ

13:00 | 23/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).

Biến thể mới của kỹ thuật tấn công DLL vượt qua các biện pháp bảo vệ của Windows 10, 11

08:00 | 19/01/2024

Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.