Công ty an ninh mạng Mandiant của Mỹ cho biết, các hoạt động tấn công này là một phần của chiến dịch lớn được thiết kế để triển khai tấn công trên các giải pháp của Fortinet và Vmware, đồng thời duy trì quyền truy cập liên tục vào môi trường của nạn nhân.
Công ty ứng phó sự cố và tình báo mối đe dọa thuộc sở hữu của Google đang theo dõi hoạt động tấn công dưới tên gọi UNC3886 và mô tả nó như một tác nhận đe dọa mối quan hệ với Trung Quốc.
Trong một phân tích kỹ thuật, các nhà nghiên cứu của Mandiant cho biết: “UNC3886 là một nhóm gián điệp mạng tiên tiến với các khả năng độc đáo về cách thức hoạt động trên mạng cũng như các công cụ mà chúng sử dụng trong các chiến dịch của mình. UNC3886 đã được quan sát nhắm mục tiêu vào các công nghệ tường lửa và ảo hóa thiếu hỗ trợ EDR. Khả năng thao túng tường lửa cơ sở và khai thác lỗ hổng zero-day của nhóm tin tặc cho thấy chúng đã có mức độ hiểu biết sâu về các công nghệ đó”.
Trước đó, nhóm tin tặc này đã cùng với một nhóm khác nhắm mục tiêu vào các máy chủ VMware ESXi và Linux vCenter như một phần của chiến dịch siêu tấn công, được thiết kể để loại bỏ các đường đột nhập như VIRTUALPITA và VIRTUALPIE.
Các tổ chức chính phủ và tổ chức lớn đã trở thành nạn nhân của một tác nhân đe dọa không xác định bằng cách tận dụng lỗ hổng zero-day trong phần mềm Fortinet FortiOS để đánh cắp dữ liệu, làm hỏng hệ điều hành và tệp. Lỗ hổng này có định danh CVS-2022-41328 liên quan đến lỗi truyền tải đường dẫn trong FortiOS có thể dẫn đến thực thi mã tùy ý. Lỗ hổng này đã được Fortinet vá vào ngày 7/3/2023.
Cũng theo Mandiant, các cuộc tấn công do UNC3886 thực hiện đã nhắm vào các thiết bị FortiGate, FortiManager và FortiAnalyzer của Fortinet để triển khai 2 bộ mã độc THINCRUST và CASTLETAP khi các thiết bị này kết nối với internet.
Vòng đời tấn công khi FortiManager kết nối với internet
THINCRUST là mã độc viết bằng Python có khả năng thực thi các lệnh tùy ý cũng như đọc và ghi các tệp trên ổ đĩa. Sự bền bỉ mà THINCRUST cung cấp sau đó được tận dụng để cung cấp các tập lệnh FortiManager khai thác lỗ hổng truyền tải đường dẫn FortiOS để ghi đè lên các tệp hợp pháp và sửa đổi hình ảnh của chương trình cơ sở. Điều này bao gồm cả mã độc CASTLETAP được thêm vào có tên “/bin/fgfm” báo hiệu cho máy chủ chấp nhận các lệnh đến, cho phép nó chạy lệnh và lọc dữ liệu từ máy chủ bị xâm phạm.
Hành vi của TABLEFLIP
Các nhà nghiên cứu giải thích: “Sau khi CASTLETAP được triển khai cho tường lửa FortiGate, tác nhân đe dọa đã kết nối với các máy ESXi và vCenter, cho phép tiếp tục truy cập vào các trình ảo hóa và máy khách”.
Ngoài ra, trên các thiết bị FortiManager triển khai các hạn chế truy cập internet, tác nhân đe dọa được cho là từ tường lửa FortiGate bị xâm phạm bằng CASTLETAP để cấy vào một mã độc có tên REPTILE (“/bin/klogd”) trên hệ thống quản lý mạng để lấy lại quyền truy cập.
Cũng được UNC3886 sử dụng ở giai đoạn này là một tiện ích có tên là TABLEFLIP, một phần mềm chuyển hướng lưu lượng mạng để kết nối trực tiếp với thiết bị FortiManager bất kể quy tắc danh sách kiểm soát truy cập (ACL) được áp dụng.
Đây không phải là lần đầu tiên các nhóm tin tặc của Trung Quốc nhắm mục tiêu vào thiết bị mạng để phân phối phần mềm độc hại riêng biệt, với các cuộc tấn công gần đây chúng đã lợi dụng các lỗ hổng khác trong thiết bị Fortinet và SonicWall.
Theo Rapid7, các tác nhân đe dọa đang phát triển và khai khai thác nhanh hơn bao giờ hết, với 28 lỗ hổng bị khai thác trong vòng bảy ngày kể từ ngày tiết lộ công khai tăng 12% so với năm 2021 và tăng 87% so với năm 2020.
Các nhóm tin tặc có liên kết với Trung Quốc đã trở nên thành thạo trong việc khai thác các lỗ hổng zero-day và triển khai phần mềm độc hại tùy chỉnh để đánh cắp thông tin đăng nhập của người dùng và duy trì quyền truy cập lâu dài vào các mạng mục tiêu.
Theo Mandiant, đây là bằng chứng cho thấy các tác nhân đe dọa gián điệp mạng tiên tiến đang lợi dụng bất kỳ công nghệ nào có sẵn để tồn tại và vượt qua môi trường mục tiêu, đặc biệt là những công nghệ không hỗ trợ giải pháp EDR.
Bùi Thanh (Theo The Hacker News)
08:00 | 05/04/2021
17:00 | 11/08/2023
09:00 | 06/06/2023
13:00 | 09/12/2020
14:00 | 14/06/2023
15:00 | 20/09/2023
22:00 | 28/09/2023
09:00 | 05/02/2024
08:00 | 24/10/2023
10:00 | 13/05/2020
07:00 | 22/05/2023
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024
