Tổng quan
Các nhà nghiên cứu của nhóm Unit 42 đến từ hãng bảo mật Palo Alto Networks đã quan sát ba chiến dịch của Stately Taurus trong tháng 8/2023. Các chiến dịch này được đánh giá là nhằm vào các thực thể ở Nam Thái Bình Dương, trong đó phần lớn mục tiêu là các cơ quan thuộc Chính phủ Philippines. Các tin tặc đã lạm dụng phần mềm hợp pháp Solid PDF Creator và SmadavProtect (một giải pháp chống virus của Indonesia) để tải các tệp độc hại.
Việc sử dụng SmadavProtect là một chiến thuật đã được Stately Taurus áp dụng trong những tháng gần đây, chúng đã triển khai phần mềm độc hại được thiết kế đặc biệt để vượt qua các giải pháp bảo mật.
Bên cạnh đó, các tin tặc cũng đã cấu hình phần mềm độc hại một cách đặc biệt để mạo danh lưu lượng truy cập hợp pháp của Microsoft cho các kết nối đến máy chủ chỉ huy và kiểm soát (C2).
Stately Taurus (hay còn gọi là Mustang Panda, Bronze President, Red Delta, Luminous Moth, Earth Preta và Camaro Dragon) đã hoạt động ít nhất từ năm 2012. Đây là nhóm tin tặc APT của Trung Quốc thường xuyên thực hiện các chiến dịch gián điệp mạng. Nhóm này trước đây đã nhắm mục tiêu vào các tổ chức chính phủ và phi lợi nhuận, cũng như các tổ chức tôn giáo tại Bắc Mỹ, châu Âu và châu Á.
Chiến dịch 1
Chiến dịch đầu tiên được phát hiện vào ngày 01/8/2023, khi các nhà nghiên cứu Unit 42 xác định phần mềm độc hại Stately Taurus được lưu trữ để tải xuống trên Google Drive. Các tin tặc đã cấu hình phần mềm độc hại này dưới dạng tệp ZIP có tên “230728 meeting minutes.zip”.
Hình 1. Nội dung kho lưu trữ ZIP độc hại trong chiến dịch 1
Theo mặc định, nạn nhân nhìn thấy một ứng dụng hiển thị như trên Hình 1 (20230728 meeting minutes.exe) có chứa biểu tượng PDF. Trên thực tế, tệp này là bản sao hợp pháp của phần mềm Solid PDF Creator đã được đổi tên. Tuy nhiên, điều mà nạn nhân không nhìn thấy là thư mục này chứa tệp ẩn thứ hai có tên SolidPDFCreator.dll.
Bất kỳ nỗ lực nào để thực thi phần mềm Solid PDF Creator hợp pháp sẽ dẫn đến việc thực thi DLL sideloading độc hại có trong cùng một thư mục. Sau khi được tải, DLL độc hại sẽ thiết lập kết nối với địa chỉ IP 45[.]121[.]146[.]113 để tạo điều kiện thuận lợi cho các lệnh C2. Các nhà nghiên cứu đánh giá rằng một tổ chức có liên quan đến Chính phủ Philippines là nạn nhân trong chiến dịch lần này.
Chiến dịch 2
Sau đó, Unit 42 đã xác định được chiến dịch Stately Taurus thứ hai vào ngày 03/8/2023. Phần mềm độc hại này được cấu hình dưới dạng tệp ZIP có tên là “NUG’s Foreign Policy Strategy.zip”.
Trong trường hợp này, từ viết tắt “NUG” được cho là nhắc đến phe đối lập tại Myanmar là “Chính phủ thống nhất quốc gia Myanmar”. Khi giải nén kho lưu trữ này, nạn nhân sẽ thấy một chế độ xem tương tự như chiến dịch đầu tiên, được hiển thị trong Hình 2.
Hình 2. Nội dung kho lưu trữ ZIP trong chiến dịch 2
Ở đây, chúng ta thấy một bản sao hợp pháp của phần mềm Solid PDF Creator đã được đổi tên thành NUG’s Foreign Policy Strategy.exe. Các nhà nghiên cứu cho biết cũng thấy tệp SolidPDFCreator.dll ẩn được tải khi ứng dụng được khởi chạy. Tuy nhiên, tệp ZIP này cũng chứa các tệp bổ sung ẩn trong đường dẫn: “NUG’s Foreign Policy Strategy\#\#\#\#\#\#\#\#\#\#\#\”.
Sau khi duyệt qua 11 thư mục có tên # , các nhà nghiên cứu đã xác định được ba tệp bổ sung, được hiển thị trong Hình 3.
Hình 3. Nội dung của thư mục #
Về luồng của tiến trình, khi thực thi tệp nhị phân NUG’s Foreign Policy Strategy.exe có thể nhìn thấy tệp SolidPDFCreator.dll. Sau đó, DLL này sao chép ba tệp: errordetails, SmadavProtect32.exe và Smadhook32c.dll vào thư mục chính của nạn nhân và thiết lập Registry tại đường dẫn “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AHealthDB” để gọi tiến trình SmadavProtect32.exe khi một người dùng đăng nhập.
SmadavProtect32.exe là bản sao hợp pháp và lành tính của chương trình chống virus của Indonesia có tên là SmadAV. Khi đăng nhập, SmadavProtect32.exe sẽ tải tệp DLL độc hại (SmadHook32c.dll) và sau đó là phần mềm độc hại errordetails có trong cùng một thư mục. Sau khi chạy, phần mềm độc hại được cấu hình để gọi tới địa chỉ IP 45[.]121[.]146[.]113 để kết nối C2.
Chiến dịch 3
Chiến dịch thứ 3 có cấu trúc giống với chiến dịch đầu tiên và được phát hiện vào ngày 16/8/2023. Tuy nhiên, tên tệp ZIP và EXE là “Labor Statement.zip” thay vì 230728 meeting minutes như ví dụ đầu tiên.
Khi giải nén nội dung của tệp ZIP, nạn nhân sẽ thấy hai tệp. Tệp đầu tiên có tên là Labor Statement.exe, đây là bản sao lành tính của phần mềm Solid PDF Creator. Tệp thứ hai là một tệp DLL độc hại có tên SolidPDFCreator.dll. Sau khi thực thi ứng dụng, DLL độc hại sẽ được tải và nó thiết lập kết nối tới địa chỉ IP 45[.]121[.]146[.]113 cho kết nối C2 giống như hai chiến dịch trước đó.
Cơ sở hạ tầng C2
Địa chỉ IP 45[.]121[.]146[.]113 lần đầu tiên được liên kết với Stately Taurus trong một loạt chiến dịch được triển khai vào tháng 6/2023. Các nhà nghiên cứu đánh giá rằng các tin tặc tiếp tục tận dụng cơ sở hạ tầng này trong suốt tháng 8/2023. Tuy nhiên, một khía cạnh thú vị trong hoạt động của C2 là các kẻ tấn công đã cố gắng ngụy trang nó thành lưu lượng truy cập hợp pháp của Microsoft, như trong Hình 4.
Hình 4. Phương thức POST của phần mềm độc hại
Cụ thể, trong phương thức POST, phần mềm độc hại đặt trường Host thành wcpstatic[.]microsoft[.]com mặc dù lưu lượng truy cập được chuyển hướng đến địa chỉ IP ở Malaysia không liên quan đến bất kỳ dịch vụ hợp pháp nào của Microsoft.
Ngoài ra, khi giám sát lưu lượng truy cập liên kết với máy chủ C2, các nhà nghiên cứu đã xác định được nhiều kết nối từ ngày 10/8 đến ngày 15/8/2023, bắt nguồn từ cơ sở hạ tầng của Chính phủ Philippines.
Dựa trên lưu lượng truy cập vào máy chủ C2 độc hại đã biết, Unit 42 đánh giá một cơ quan Chính phủ Philippines có thể đã bị xâm phạm trong các chiến dịch này, ít nhất là trong khoảng thời gian 5 ngày vào tháng 8/2023.
Diễn biến liên quan
Vào cuối tháng 9/2023, Unit 42 cũng cho biết các tác nhân đe dọa đã thực hiện cuộc tấn công nhằm vào một chính phủ giấu tên tại Đông Nam Á để phát tán một biến thể của backdoor có tên TONESHELL.
Các chiến dịch mới nhất tận dụng các email lừa đảo trực tuyến để phân phối tệp lưu trữ ZIP độc hại chứa tệp DLL lừa đảo được khởi chạy bằng kỹ thuật có tên DLL side-loading. DLL sau đó sẽ thiết lập liên lạc với một máy chủ từ xa.
Tiết lộ này được đưa ra khi một nhóm APT đến từ Hàn Quốc là Higaisa đã bị phát hiện nhắm mục tiêu vào người dùng Trung Quốc thông qua các trang web lừa đảo mạo danh các ứng dụng phần mềm nổi tiếng như OpenVPN.
Công ty giải pháp bảo mật Cyble cho biết vào cuối tháng trước: “Sau khi được thực thi, trình cài đặt sẽ nhúng và chạy phần mềm độc hại dựa trên Rust trên hệ thống, sau đó kích hoạt shellcode. Nó thực hiện các hoạt động chống gỡ lỗi và giải mã. Sau đó, thiết lập liên lạc với máy chủ C2 được mã hóa với tác nhân đe dọa từ xa”.
Kết luận
Trong tháng 8/2023, các thành viên của Stately Taurus đã phát động ít nhất ba chiến dịch nhắm vào các thực thể ở Nam Thái Bình Dương. Các nhà nghiên cứu cho biết ít nhất một trong những chiến dịch này nhắm trực tiếp vào Chính phủ Philippines.
Theo đánh giá của các nhà nghiên cứu, các tin tặc APT sử dụng kỹ thuật DLL sideloading để phát tán phần mềm độc hại không phải là mới. Tuy nhiên, việc nhóm Stately Taurus tiếp tục sử dụng kỹ thuật này, kết hợp với tỷ lệ phát hiện tối thiểu trên các nền tảng như VirusTotal, chứng tỏ rằng chúng tiếp tục là một công cụ hiệu quả trong các cuộc tấn công mạng của tin tặc.
Stately Taurus tiếp tục chứng tỏ khả năng tiến hành các hoạt động gián điệp mạng liên tục với tư cách là một trong những tác nhân APT tích cực nhất của Trung Quốc. Các hoạt động này nhắm vào nhiều đối tượng mục tiêu khác nhau có liên quan đến những căng thẳng địa chính trị với Trung Quốc.
Hồng Đạt
(Tổng hợp)
10:00 | 22/11/2023
10:00 | 05/10/2023
17:00 | 08/11/2023
14:00 | 04/05/2024
Cục An toàn thông tin, Bộ Thông tin và Truyền thông (TT&TT) đưa ra cảnh báo về trang web lừa đảo và khuyến nghị người dân nâng cao cảnh giác, tránh truy cập và làm theo hướng dẫn của các đối tượng xấu.
13:00 | 17/04/2024
Vào ngày 24/4 tới đây tại Hà Nội, Hiệp hội Blockchain Việt Nam phối hợp Viện công nghệ Blockchain và trí tuệ nhân tạo tổ chức Hội thảo Blockchain & AI: cuộc cách mạng tương lai. Hội thảo được tổ chức với mục tiêu tạo dựng diễn đàn đa phương để các cơ quan quản lý nhà nước, tổ chức xã hội nghề nghiệp, cá nhân, doanh nghiệp công nghệ pháp lý tài chính ngành Blockchain và trí tuệ nhân tạo (AI), Nhà cung cấp dịch vụ tài sản ảo (VASP) trong và ngoài nước có cơ hội đối thoại trực tiếp,
12:00 | 12/04/2024
Theo một nghiên cứu của công ty công nghệ Veritas (Mỹ) công bố, cứ 11 giây trôi qua thế giới lại ghi nhận một vụ tấn công mạng nhằm vào các tổ chức, doanh nghiệp lớn, đặc biệt là lĩnh vực tài chính.
09:00 | 06/03/2024
Hội thảo Quốc gia lần thứ XXVII "Một số vấn đề chọn lọc về Công nghệ thông tin và Truyền thông" – VNICT 2024 do Viện Công nghệ thông tin - Viện Hàn lâm Khoa học và Công nghệ Việt Nam và Trường Đại học Nha Trang đồng tổ chức tại Nha Trang - Khánh Hòa vào các ngày 11-12/10/2024. Hội thảo có sự tham gia phối hợp của Câu lạc bộ các Khoa-Trường-Viện CNTT-TT Việt Nam (FISU) và Tạp chí An toàn thông tin.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Trong 02 ngày 25-26/4, Đoàn công tác của Ban Cơ yếu Chính phủ do đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban làm Trưởng đoàn đã đến thăm và làm việc với các Tỉnh ủy: Đồng Nai, Bình Dương và Bình Phước về công tác cơ yếu, bảo mật và an toàn thông tin.
19:00 | 30/04/2024
Ngày 16/4, nhà sản xuất linh kiện bán dẫn tích hợp đa quốc gia AMD đã giới thiệu chip mới mới dành cho máy tính xách tay và máy tính để bàn hỗ trợ trí tuệ nhân tạo (AI), khi các nhà thiết kế chip này tìm cách mở rộng thị phần của mình trên thị trường máy tính sử dụng AI (PC AI).
09:00 | 03/05/2024