Nhóm tin tặc Mustang Panda

Theo báo cáo của các nhà nghiên cứu, nhóm tin tặc Mustang Panda gần đây có liên quan đến các cuộc tấn công mạng vào Myanmar cũng như các nước châu Á khác với một biến thể backdoor PlugX (còn gọi là Korplug) có tên là DOPLUGS.

Được biết, Mustang Panda còn được gọi là Camaro Dragon, Earth Preta và Stately Taurus, được cho là đã nhắm mục tiêu vào các thực thể ở Myanmar, Philippines, Nhật Bản và Singapore, bằng các email lừa đảo được thiết kế để phân phối hai gói phần mềm độc hại.

“Các tác nhân đe dọa đã tạo ra phần mềm độc hại vào ngày 4-5/3/2024, trùng với thời điểm diễn ra Hội nghị Cấp cao Đặc biệt ASEAN - Australia”, các nhà nghiên cứu chia sẻ.

Một trong những gói phần mềm độc hại là tệp ZIP ẩn bên trong tệp thực thi Talking_Points_for_China[.]exe. Khi được khởi chạy, tệp này sẽ tải tệp KeyScramblerIE[.]dll và cuối cùng triển khai phần mềm độc hại PUBLOAD - một dạng mã độc trình tải xuống trước đây được sử dụng để loại bỏ PlugX. Điều đáng nói, tệp nhị phân là bản sao được đổi tên của một phần mềm hợp pháp có tên KeyScrambler[.]exe.

Hình 1. Tệp độc hại Talking_Points_for_China[.]exe

Mặt khác, gói thứ hai là một trình bảo vệ màn hình có tên gọi là Note PSO[.]scr được sử dụng để truy xuất mã độc giai đoạn tiếp theo từ một địa chỉ IP từ xa, bao gồm một chương trình lành tính (được ký số bởi một công ty trò chơi điện tử và được đổi tên thành WindowsUpdate[.]exe) và một tệp DLL lừa đảo.

Các nhà nghiên cứu cho biết, phần mềm độc hại này sau đó cố gắng thiết lập kết nối tới tên miền www[.]openservername[.]com tại với địa chỉ IP là 146[.]70[.1]49[.]36 để nhận lệnh từ máy chủ điểu khiển và ra lệnh (C2).

Unit42 cũng phát hiện lưu lượng truy cập mạng có liên quan giữa một thực thể liên kết với một quốc gia ASEAN và cơ sở hạ tầng C2 của nhóm tin tặc APT thứ hai của Trung Quốc. Cụm hoạt động đe dọa này được cho là gây ra các cuộc tấn công tương tự nhắm vào Campuchia.

Các nhà nghiên cứu đánh giá: “Những chiến dịch này tiếp tục chứng minh cách các tổ chức trở thành mục tiêu của gián điệp mạng, nơi các nhóm tin tặc dưới sự bảo trợ của nhà nước thu thập thông tin tình báo về lợi ích địa chính trị trong khu vực”.

Nhóm tin tặc Earth Krahang

Hình 2. Luồng hoạt động của nhóm tin tặc Earth Krahang

Các phát hiện này được đưa ra một thời gian ngắn sau khi hãng bảo mật Trend Micro (Mỹ) phát hiện một tác nhân đe dọa mới tới từ Trung Quốc có tên là Earth Krahang. Theo đó, Earth Krahang đã nhắm mục tiêu vào 116 thực thể trải rộng trên 35 quốc gia bằng cách lợi dụng lừa đảo trực tuyến và các lỗ hổng trong các máy chủ Openfire và Oracle công khai để phát tán phần mềm độc hại riêng biệt như PlugX, ShadowPad, ReShell và DinodasRAT (còn gọi là XDealer).

Các cuộc tấn công bắt đầu từ đầu năm 2022, trong đó kẻ tấn công tận dụng sự kết hợp của nhiều phương pháp để quét tìm dữ liệu nhạy cảm.

Nhóm tin tặc Earth Krahang tập trung chủ yếu vào Đông Nam Á, cũng thể hiện một số mức độ trùng lặp với một nhóm tin tặc khác của Trung Quốc là Earth Lusca (còn gọi là RedHotel). Theo các nhà nghiên cứu, cả hai nhóm này có thể được điều hành bởi cùng một tác nhân đe dọa và liên quan đến một nhà thầu của Chính phủ Trung Quốc tên là I-Soon.

Một trong những chiến thuật ưa thích của kẻ tấn công là khai thác quyền truy cập để xâm nhập vào cơ sở hạ tầng quan trọng và thực hiện tấn công các thực thể chính phủ khác, lạm dụng cơ sở hạ tầng để lưu trữ các payload độc hại, lưu lượng truy cập tấn công proxy và gửi email lừa đảo đến các mục tiêu liên quan bằng cách sử dụng tài khoản email bị xâm nhập của chính phủ đó.

Các nhà nghiên cứu cho biết, nhóm tin tặc Earth Krahang đã sử dụng cách thức tấn công khác, chẳng hạn như xây dựng máy chủ VPN trên các máy chủ công khai bị xâm nhập để thiết lập quyền truy cập vào mạng riêng của nạn nhân và thực hiện các cuộc tấn công brute-force để lấy thông tin xác thực email. Những thông tin này sau đó được sử dụng để đánh cắp email của các nạn nhân.

Vụ rò rỉ I-Soon

Tháng 02/2024, một bộ tài liệu bị rò rỉ từ I-Soon trên GitHub đã tiết lộ cách công ty này bán một loạt phần mềm đánh cắp và trojan truy cập từ xa như ShadowPad và Winnti (còn gọi là TreadStone) cho nhiều tổ chức Chính phủ Trung Quốc. Điều này cũng bao gồm một nền tảng tích hợp được thiết kế để thực hiện các chiến dịch tấn công mạng và một phần mềm độc hại trên Linux có tên là Hector.

Công ty an ninh mạng Bishop Fox (Mỹ) cho biết: “Nền tảng tích hợp bao gồm cả các ứng dụng và mạng nội bộ cũng như mạng bên ngoài. Ứng dụng nội bộ chủ yếu dùng để quản lý nhiệm vụ và tài nguyên. Trong khi đó ứng dụng bên ngoài được thiết kế để thực hiện các hoạt động mạng”.

Ngoài ra, một nhóm tin tặc cho thuê đến từ Trung Quốc (chưa được tiết lộ) được cho là cũng có liên quan đến chiến dịch POISON CARP năm 2019 nhắm vào các nhóm Tây Tạng và vụ tấn công mạng Comm100 năm 2022.

Ngoài các cuộc tấn công nhắm đến các chính phủ nước ngoài và dân tộc thiểu số trong nước (Trung Quốc) để lấy thông tin có giá trị, một số cuộc tấn công mạng được thực hiện độc lập với hy vọng thu hút được khách hàng là các tổ chức, cơ quan chính phủ khác có mục đích gián điệp mạng và đánh cắp thông tin đối phương.

Công ty an ninh mạng Recorded Future (Mỹ) trong một phân tích riêng, cho biết vụ rò rỉ đã làm sáng tỏ “mối quan hệ hoạt động và tổ chức” giữa I-Soon và ba nhóm tác nhân đe dọa khác do Chính phủ Trung Quốc bảo trợ như RedAlpha (còn gọi là Deepcliff), RedHotel và POISON CARP.

Các nạn nhân trong vụ rò rỉ dữ liệu của I-Soon ảnh hưởng đến ít nhất 22 quốc gia, trong đó các tổ chức chính phủ, viễn thông và giáo dục được nhắm tới nhiều nhất.

Hơn nữa, các tài liệu được công bố xác nhận rằng Tianfu Cup - một giải pháp mạng của Trung Quốc tham gia cuộc thi tấn công mạng lớn nhất thế giới Pwn2Own, hoạt động như một “hệ thống chuyên cung cấp thông tin về các lỗ hổng” cho chính phủ.

Nguồn gốc của vụ rò rỉ hiện vẫn chưa được xác định, mặc dù hai nhân viên của I-Soon chia sẻ rằng một cuộc điều tra đang diễn ra với sự cộng tác của cơ quan thực thi pháp luật. Hiện tại, trang web của công ty này đang tạm thời dừng hoạt động trực tuyến.