Theo đó, cùng với GhostSpider, các nhà nghiên cứu Trend Micro phát hiện ra rằng nhóm tin tặc Salt Typhoon cũng sử dụng một backdoor Linux đã được ghi nhận trước đó có tên là Masol RAT, một rootkit có tên là Demodex và một mô-đun backdoor được chia sẻ giữa các nhóm APT Trung Quốc có tên là SnappyBee.
Hình 1. Biểu đồ lây nhiễm
Salt Typhoon (hay còn gọi là Earth Estries, GhostEmperor hoặc UNC2286) là một nhóm tin tặc tinh vi đã hoạt động ít nhất từ năm 2019 và thường tập trung vào việc xâm nhập vào các tổ chức chính phủ và công ty viễn thông trên toàn cầu.
Các tin tặc Salt Typhoon gần đây đã trở thành tâm điểm chú ý sau một chiến dịch gián điệp mạng liên quan đến Trung Quốc đã xâm phạm mạng lưới của nhiều công ty viễn thông Mỹ bao gồm Verizon, AT&T, Lumen Technologies và T-Mobile. Những kẻ tấn công được cho là đã truy cập dữ liệu hồ sơ cuộc gọi của khách hàng, đặc biệt nhắm vào những cá nhân tham gia vào các hoạt động chính phủ hoặc chính trị.
Sau đó, Salt Typhoon được cho cũng đã khai thác được các thông tin liên lạc riêng tư của một số quan chức Chính phủ Mỹ và đánh cắp thông tin liên quan đến yêu cầu nghe lén được tòa án cho phép.
Theo Trend Micro, nhóm tin tặc này đã tấn công mạng các ngành viễn thông, cơ quan chính phủ, công nghệ, tư vấn, hóa chất và giao thông vận tải tại Mỹ, khu vực châu Á - Thái Bình Dương, Trung Đông, Nam Phi và các khu vực khác.
Các nhà nghiên cứu bảo mật đã xác nhận ít nhất 20 trường hợp các tin tặc Salt Typhoon xâm nhập thành công vào các tổ chức quan trọng, trong một số trường hợp bao gồm cả nhà cung cấp của họ.
Một trong hai chiến dịch được nêu bật trong báo cáo của Trend Micro là “Alpha”, nhắm mục tiêu vào Đài Loan và các nhà sản xuất hóa chất bằng cách sử dụng Demodex và SnappyBee.
Hình 2. Tổng quan về chiến dịch Alpha
Quyền truy cập ban đầu được thực hiện thông qua việc khai thác các điểm cuối công khai dễ bị tấn công, sử dụng các lỗ hổng sau:
- CVE-2023-46805, CVE-2024-21887 (Ivanti Connect Secure VPN)
- CVE-2023-48788 (Fortinet FortiClient EMS)
- CVE-2022-3236 (Tường lửa Sophos)
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (Microsoft Exchange – ProxyLogon)
Salt Typhoon sử dụng các công cụ LOLbin để thu thập thông tin tình báo và di chuyển mạng ngang hàng trong giai đoạn sau khi xâm nhập.
Chiến dịch tấn công thứ hai được theo dõi là Beta, một hoạt động gián điệp bền bỉ nhằm vào các mạng lưới viễn thông và chính phủ tại Đông Nam Á, các tin tặc đã sử dụng GhostSpider và Demodex để tấn công mạng vào các mục tiêu đã chọn.
Hình 3. Tổng quan chiến dịch Beta
Theo Trend Micro, thiết kế mô-đun của GhostSpider cho phép kẻ tấn công triển khai hoặc cập nhật các mô-đun khác nhau một cách độc lập dựa trên nhu cầu của chúng. Cách tiếp cận này làm phức tạp quá trình phát hiện và phân tích, khiến các nhà nghiên cứu khó hiểu đầy đủ chức năng của phần mềm độc hại.
Phần mềm độc hại này được tải (upload) trên hệ thống mục tiêu bằng cách sử dụng DLL hijacking và được đăng ký như một dịch vụ thông qua công cụ regsvr32[.]exe hợp pháp, trong khi một mô-đun thứ hai, beacon loader, tải các dữ liệu được mã hóa trực tiếp vào bộ nhớ.
GhostSpider thực thi các lệnh nhận được từ máy chủ điều khiển và ra lệnh (C2), được ẩn trong tiêu đề HTTP hoặc cookie để “xáo trộn” với lưu lượng truy cập hợp pháp.
Backdoor hỗ trợ các lệnh sau:
1. Upload: Tải một mô-đun độc hại vào bộ nhớ để thực hiện các tác vụ cụ thể do kẻ tấn công kiểm soát.
2. Create: Kích hoạt mô-đun đã tải bằng cách khởi tạo các tài nguyên cần thiết cho hoạt động của mô-đun đó.
3. Normal: Thực hiện chức năng chính của mô-đun được tải, chẳng hạn như lọc dữ liệu hoặc thao tác hệ thống.
4. Close: Xóa mô-đun đang hoạt động khỏi bộ nhớ để giảm thiểu dấu vết và giải phóng tài nguyên hệ thống.
5. Update: Điều chỉnh hành vi của phần mềm độc hại, chẳng hạn như khoảng thời gian giao tiếp, để duy trì khả năng lẩn tránh và hoạt động hiệu quả.
6. Heartbeat: Duy trì liên lạc định kỳ với máy chủ C2 để xác nhận hệ thống vẫn có thể truy cập được.
Cấu trúc của các lệnh này mang lại tính linh hoạt cho backdoor và cho phép Salt Typhoon điều chỉnh cuộc tấn công khi cần thiết, điều này tùy thuộc vào mạng lưới và các biện pháp phòng vệ trên các mục tiêu tấn công.
Hình 4. Chuỗi lây nhiễm GhostSpider
Ngoài GhostSpider, Salt Typhoon còn dựa vào một bộ công cụ được chia sẻ giữa các tác nhân đe dọa khác của Trung Quốc, cho phép chúng tiến hành các hoạt động gián điệp phức tạp, nhiều giai đoạn, từ các thiết bị biên đến môi trường đám mây.
1. SNAPPYBEE: Backdoor dạng mô-đun (còn gọi là Deed RAT) được sử dụng để truy cập và do thám lâu dài. Backdoor này hỗ trợ các chức năng như trích xuất dữ liệu, giám sát hệ thống và thực hiện lệnh của kẻ tấn công.
2. MASOL RAT: Backdoor đa nền tảng ban đầu được xác định nhắm mục tiêu vào các chính phủ tại Đông Nam Á, tập trung vào các máy chủ Linux, cho phép truy cập từ xa và thực thi lệnh.
3. DEMODEX: Rootkit được sử dụng để duy trì sự tồn tại trên các hệ thống bị xâm phạm, phần mềm độc hại này tận dụng các kỹ thuật chống phân tích và đảm bảo kẻ tấn công không bị phát hiện trong thời gian dài.
4. SparrowDoor: Backdoor này cung cấp khả năng truy cập từ xa, được sử dụng để di chuyển ngang hàng và thiết lập liên lạc với máy chủ C2.
5. CrowDoor: Backdoor được sử dụng cho mục đích gián điệp, đặc biệt nhắm vào các tổ chức chính phủ và viễn thông, tập trung vào hoạt động lẩn tránh và đánh cắp dữ liệu.
6. ShadowPad: Phần mềm độc hại được chia sẻ giữa các nhóm APT Trung Quốc, được sử dụng để do thám và kiểm soát hệ thống, hoạt động như một nền tảng mô-đun để triển khai nhiều plugin độc hại khác nhau.
7. NeoReGeorg: Công cụ tunel được sử dụng để tạo các kênh truyền thông bí mật, cho phép kẻ tấn công vượt qua hệ thống phòng thủ mạng và kiểm soát các hệ thống bị xâm phạm.
8. frpc: Công cụ reverse proxy mã nguồn mở được sử dụng để tạo kết nối an toàn tới máy chủ C2, cho phép đánh cắp dữ liệu và thực thi lệnh từ xa.
9. Cobalt Strike: Công cụ kiểm tra xâm nhập bị kẻ tấn công lợi dụng để tạo ra các tín hiệu (beacon) cho hoạt động di chuyển ngang hàng, leo thang đặc quyền và điều khiển từ xa.
Trend Micro kết luận bằng cách mô tả Salt Typhoon là một trong những nhóm APT Trung Quốc tinh vi nhất, đồng thời kêu gọi các tổ chức phải luôn cảnh giác và áp dụng nhiều biện pháp phòng thủ an ninh mạng.
Chiến dịch chống lại Mỹ của Salt Typhoon khác với chiến dịch của một nhóm tin tặc Trung Quốc khác là Volt Typhoon, nhóm này gần đây đã xâm nhập vào cơ sở hạ tầng quan trọng để thực hiện các hành động phá hoại.
Tuy nhiên, Trend Micro lưu ý rằng Salt Typhoon có thể chia sẻ công cụ với các tin tặc khác do nhà nước Trung Quốc tài trợ, vì kỹ thuật và phần mềm độc hại của họ thường chồng chéo nhau.
Trần Bắc
14:00 | 05/06/2023
15:00 | 18/12/2023
09:00 | 25/10/2023
15:00 | 19/12/2024
22:00 | 25/01/2025
Mông Cổ, Đài Loan, Myanmar, Việt Nam và Campuchia đang là mục tiêu của nhóm tin tặc RedDelta có liên hệ với Trung Quốc nhằm triển khai phiên bản tùy chỉnh của backdoor PlugX trong khoảng thời gian từ tháng 7/2023 đến tháng 12/2024.
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
10:00 | 31/12/2024
Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.
10:00 | 12/12/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025