Chiến dịch này được các nhà nghiên cứu Proofpoint phát hiện từ tháng 7 đến tháng 10/2023, đồng thời quy kết cho một tác nhân đe dọa mà họ theo dõi dưới cái tên TA402, còn được gọi là Molerats, Gaza Cyber ​​Gang và có chung chiến thuật với một nhóm tin tặc ủng hộ Hamas được gọi là APT-C-23 (Arid Viper).

Joshua Miller, nhà nghiên cứu mối đe dọa cấp cao tại Proofpoint cho biết: “Khi nói đến các nhóm tin tặc được hậu thuẫn từ chính phủ, Triều Tiên, Nga, Trung Quốc và Iran thường nhận được sự chú ý lớn nhất. Với TA402, đây là nhóm tin tặc APT tinh vi ở Trung Đông hoạt động vì lợi ích của liên quan đến Nhà nước Palestine, thực hiện các chiến dịch gián điệp mạng và tập trung vào thu thập thông tin tình báo".

TA402 đã sử dụng 3 biến thể trong chuỗi lây nhiễm này, bao gồm liên kết Dropbox, tệp đính kèm XLL và kho lưu trữ RAR, với mỗi biến thể đều dẫn đến việc tải xuống một tệp DLL chứa phần mềm độc hại đa chức năng. Trong các chiến dịch, TA402 cũng chuyển hướng từ việc sử dụng các dịch vụ đám mây như API Dropbox mà các nhà nghiên cứu của Proofpoint đã quan sát thấy trong hoạt động từ năm 2021 và 2022, sang sử dụng cơ sở hạ tầng do các tin tặc kiểm soát để liên lạc với máy chủ chỉ huy và kiểm soát (C2). 

Việc sử dụng phần mềm độc hại IronWind là một sự thay đổi so với các chuỗi tấn công trước đây, có liên quan đến việc phát tán Backdoor có tên mã NimbleMamba trong các cuộc xâm nhập nhắm vào các chính phủ Trung Đông và các tổ chức tư vấn chính sách đối ngoại.

Sự phát triển này diễn ra khi hãng bảo mật Cisco Talos (Mỹ) tiết lộ rằng tội phạm mạng đã được quan sát thấy đang khai thác tính năng “Release Scores” của các câu đố trên Biểu mẫu Google để gửi email và dàn dựng các vụ tấn công lừa đảo tiền điện tử phức tạp, cho thấy những cách sáng tạo mà các tin tặc sử dụng để đạt được mục tiêu của chúng.

Nhà nghiên cứu bảo mật Jaeson Schultz của Cisco Talos cho biết: “Các email bắt nguồn từ máy chủ của chính Google và do đó có thể dễ dàng vượt qua các biện pháp bảo vệ chống thư rác và tìm thấy hộp thư đến của nạn nhân”.

Chi tiết về chiến dịch và phần mềm độc hại IronWind

Hoạt động vào tháng 7/2023

Vào tháng 7/2023, các nhà nghiên cứu của Proofpoint đã quan sát thấy chuỗi lây nhiễm mới, phức tạp hơn của TA402 so với hoạt động chiến dịch trước đó từ năm 2021 và 2022 (Hình 1 và 2). 

Hình 1. Chuỗi lây nhiễm TA402 được sử dụng từ tháng 11/2021 đến tháng 01/2022

Hình 2. Chuỗi lây nhiễm TA402 được sử dụng trong chiến dịch tháng 7/2023

TA402 đã tham gia vào một chiến dịch lừa đảo bằng cách sử dụng tài khoản email của Bộ Ngoại giao bị xâm nhập để nhắm mục tiêu vào các tổ chức chính phủ ở Trung Đông.

Các email này đã sử dụng kỹ nghệ xã hội theo chủ đề liên quan đến Chương trình hợp tác kinh tế với các quốc gia thuộc Hội đồng Hợp tác vùng Vịnh 2023-2024 để cung cấp liên kết Drobox đã tải xuống tệp Microsoft PowerPoint Add-in (PPAM) độc hại, tạo điều kiện thuận lợi cho việc triển khai IronWind.

Sau khi thực thi, IronWind đã gửi yêu cầu HTTP GET tới miền theconomics[.]net, có địa chỉ IP là 191[.]101[.]78[.]189 tại thời điểm phân tích vào tháng 8/2023. Các nhà nghiên cứu của Proofpoint đã quan sát thấy TA402 tận dụng Dropbox để phân phối phần mềm độc hại kể từ ít nhất là tháng 12/2021.

Sau khi nhận được yêu cầu HTTP GET, C2 đã phản hồi bằng shellcode đại diện cho giai đoạn thứ 3 của chuỗi lây nhiễm. Trong quá trình phân tích của Proofpoint, shellcode đã sử dụng các trình tải .NET reflective để tiến hành các truy vấn WMI. Shellcode này cũng đóng vai trò là một trình tải đa năng, tải xuống giai đoạn thứ tư, bao gồm một tệp thực thi .NET sử dụng bộ công cụ khai thác Post Exploitation (xảy ra sau quá trình xâm nhập) có tên SharpSploit, một thư viện .NET sau khai thác được viết bằng C#. 

Tệp thực thi .NET tiếp tục sử dụng các POST HTTPS và GET tới theconomics[.]net cho C2 và nhận được phản hồi JSON. Nó đã chuyển xác thực thông qua một chuỗi UserAgent tùy chỉnh, “Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:<tag>) Gecko/<auth> Firefox/3.15” và gần như chắc chắn đã tải xuống các payload shellcode bổ sung.

Các nhà nghiên cứu của Proofpoint đã không quan sát giai đoạn thứ năm tại thời điểm phân tích, nhưng lưu ý rằng payload ở giai đoạn cuối chứa mã không được sử dụng, cho thấy TA402 có thể đang thực hiện các cập nhật và điều chỉnh tiếp theo đối với phần mềm độc hại. 

Hoạt động vào tháng 8/2023

Vào tháng 8/2023, TA402 chuyển sang gửi tệp XLL đính kèm để phân phối IronWind bằng cách sử dụng thông tin tệp liên quan đến danh sách những cá nhân và tổ chức (được chỉ định là khủng bố) làm mồi nhử thay vì sử dụng tệp PPAM độc hại được gửi qua Drobox.

TA402 đã sử dụng cùng một tài khoản email của Bộ Ngoại giao bị xâm phạm trong hoạt động tháng 7. Là một phần của quá trình lây nhiễm ban đầu, nhóm tin tặc này đã gửi thông tin đăng nhập được mã hóa base64 tới Request Inspector - một dịch vụ của bên thứ ba để tạo điểm cuối (endpoint) cho các yêu cầu HTTP nhằm đánh cắp một số thông tin hệ thống.

Hoạt động vào tháng 10/2023

Tại thời điểm này, các tin tặc đã gửi tệp đính kèm RAR chứa phiên bản tabcal.exe đã được đổi tên để tải IronWind và propsys.dll (IronWind) thay vì sử dụng tệp PPAM độc hại được gửi qua Dropbox hoặc tệp XLL đính kèm để tải phần mềm độc hại. Nó được phân phối lại sử dụng Request Inspector cho lần đăng nhập đầu tiên và miền TA402 C2 mới là inclusive-economy[.]com.

TA402 cũng tiếp tục lợi dụng tài khoản email của Bộ Ngoại giao bị xâm nhập để gửi email lừa đảo với tiêu đề “Báo cáo và khuyến nghị của Phiên họp thứ 110 về Cuộc chiến ở Gaza.

Hiện tại, nhóm tin tặc này dường như chỉ sử dụng các vấn đề liên quan đến cuộc xung đột giữa Israel và Hamas cho mục đích thu hút các nạn nhân. Ngoài ra, TA402 vẫn tiếp tục thực hiện các cuộc tấn công lừa đảo khác, cho thấy vấn đề trên không làm gián đoạn đáng kể hoạt động của nhóm này.

Định vị vị trí

TA402 thường xuyên sử dụng các kỹ thuật định vị vị trí để khiến việc phát hiện hoạt động độc hại của nó trở nên khó khăn hơn. Khía cạnh này trong chiến thuật, kỹ thuật và quy trình (TTP) của các tin tặc vẫn nhất quán ít nhất từ năm 2020.

Ngay cả với chuỗi lây nhiễm phức tạp hơn được quan sát vào năm 2023, TA402 vẫn tiếp tục bao gồm các URL đôi khi sẽ chuyển hướng đến các tài liệu giả mạo trên các nền tảng lưu trữ tài liệu hợp pháp.

Kết luận

Các nhà nghiên cứu của Proofpoint cũng đánh giá hoạt động của TA402 nhằm hỗ trợ các mục tiêu gián điệp của người Palestine với trọng tâm là thu thập thông tin tình báo. Điều này phù hợp với các báo cáo mà Proofpoint đã công bố trước đây về nhóm tác nhân đe dọa này.

TA402 vẫn là nhóm tin tặc hoạt động tinh vi, thường xuyên sử dụng lại các phương thức tấn công và phần mềm độc hại để hỗ trợ cho nhiệm vụ gián điệp mạng của mình. Việc sử dụng liên tục các tài liệu giải mã và định vị vị trí của nó tiếp tục phục vụ các nỗ lực trốn tránh bị phát hiện.

Theo nhà nghiên cứu Joshua Miller của Proofpoint cho biết: “Cuộc xung đột quân sự đang diễn ra giữa Israel và Hamas dường như không ảnh hưởng lớn đến các hoạt động đang diễn ra của TA402, khi nhóm tin tặc này tiếp tục lặp lại và sử dụng các phương pháp phân phối mới và thông minh để vượt qua các giải pháp phát hiện xâm nhập. Sử dụng các chuỗi lây nhiễm phức tạp và phát tán phần mềm độc hại mới để tấn công mục tiêu, TA402 tiếp tục tham gia vào các hoạt động có mục tiêu cụ thể, tập trung mạnh vào các thực thể chính phủ có trụ sở tại Trung Đông và Bắc Phi”.