Cụ thể, nhóm này sử dụng các biến thể của phần mềm độc hại ShadowPad và PlugX (một phần mềm độc hại được các nhóm APT có nguồn gốc từ Trung Quốc thường xuyên sử dụng và nâng cấp). Qua theo dõi, các chuyên gia của Setinel Lab còn nhận thấy Moshen Dragon có một số điểm và kỹ thuật tương tự như các nhóm APT đã được phát hiện trước đây là RedFoxtrot và Nomad Panda.
Tuy nhiên, sau khi phân tích rõ hơn các kỹ thuật, chiến thuật được nhóm này sử dụng, các chuyên gia nhận định rằng đây là một nhóm APT mới, có tính chuyên nghiệp cao, với đội ngũ thành viên sử dụng thành thạo các công cụ mới nhất để phù hợp với các hệ thống kỹ thuật của mục tiêu, có chiến thuật và kỹ thuật riêng biệt.
Nhóm Moshen Dragon lợi dụng các sản phẩm chống virus (Mcafee, Bitdefender, Trend Micro, Kaspersky, Symantec) được cài đặt trên các máy tính sử dụng hệ điều hành Windows để tải các tệp có định dạng .dll độc hại, từ đó lây nhiễm và đánh cắp các thông tin đăng nhập và dữ liệu của các máy tính bị nhiễm.
Quy trình thực thi phần mềm bị tấn công do Moshen Dragon thực hiện
Khi các sản phẩm antivirus được chạy với các đặc quyền cao trên hệ điều hành Windows, việc tải thêm tệp độc hại có định dạng .dll cho phép kẻ tấn công có được quyền chạy mã độc trên máy tính nạn nhân mà khó bị phát hiện. Nhóm Moshen Dragon sử dụng phương pháp này để triển khai Impacket, một bộ Python được tạo ra để tạo điều kiện thuận lợi cho việc lây lan và thực thi mã từ xa thông qua Công cụ quản lý Windows (WMI).
Các tính năng của Impacket
Ngoài ra, Impacket cũng giúp đánh cắp thông tin đăng nhập, kết hợp với bộ công cụ mã nguồn mở DLLPasswordFilterImplant để nắm bắt các chi tiết về việc thay đổi mật khẩu trên một miền và ghi chúng vào tệp "C: \ Windows \ Temp \ Filter.log".
Bộ lọc mật khẩu được sử dụng để lấy cắp thông tin xác thực
Sau khi lây lan được vào các hệ thống khác, Moshen Dragon sẽ để lại một trình tải thụ động (có tên là GUNTERS), nhằm xác định tính trùng lặp giữa các máy tính của hệ thống. Trình tải phụ này sử dụng tính năng chạy ngầm của WinDivert để chặn lưu lượng đến cho đến khi nhận được chuỗi cần thiết để tự giải mã, sau đó giải nén và khởi chạy các tệp độc hại (với tên gọi SNAC.log hoặc bdch.tmp).
Theo đánh giá của các chuyên gia Sentinel Labs, việc này thể hiện sự chuyên nghiệp và tinh vi của Moshen Dragon, vì nhóm này sẽ thu thập thông tin hệ thống và xây dựng các tệp .dll chứa mã độc hại phù hợp với từng hệ thống, máy tính mà nó nhắm mục tiêu.
Cũng theo Sentinel Labs, các tệp độc hại được tải về bao gồm các biến thể của PlugX và ShadowPad, hai cửa hậu đã được nhiều nhóm APT của Trung Quốc thường xuyên sử dụng trong những năm gần đây (Mustang Panda, RedFoxtrot, Nomad Panda…). Mục tiêu cuối cùng của nhóm APT này là xâm nhập và lấy dữ liệu từ nhiều hệ thống nhất có thể.
Một phát hiện bất ngờ khác là một bộ công cụ tương tự cũng đã được các chuyên gia của hãng bảo mật Avast phát hiện và phân tích vào tháng 12/2021 (chứa tệp giả mạo oci.dll và sử dụng WinDivert) khi theo dõi cuộc tấn công có chủ đích vào hệ thống mạng của một ủy ban thuộc chính phủ Mỹ.
PlugX và Shadowpad là những bộ công cụ nổi tiếng, chứa nhiều môđun nhỏ, với tính linh hoạt cao và được các nhóm APT lớn của Trung Quốc thường xuyên sử dụng cho các hoạt động gián điệp mạng của mình. Với việc được biên dịch qua shellcode, các môđun của bộ công cụ này có thể dễ dàng vượt qua các giải pháp bảo mật và hoạt động một cách hiệu quả trên hệ thống bị tấn công.
Việc nhóm APT Moshen Dragon sử dụng các bộ công cụ nói trên kết hợp với các công cụ được nhóm tự xây dựng, sẵn sàng tùy biến công cụ để phù hợp với hệ thống của mục tiêu tấn công đã thể hiện sự chuyên nghiệp, bài bản có tổ chức cao. Khi đã xâm nhập thành công vào hệ thống của tổ chức, Moshen Dragon sẽ cài đặt backdoor, tìm kiếm, khai thác các lỗ hổng để thu thập thông tin nhằm đảm bảo việc truy cập ổn định, thường xuyên giúp đánh cắp dữ liệu của hệ thống mục tiêu một cách lâu dài đồng thời vượt qua được các hệ thống an toàn thông tin của mục tiêu tấn công.
Một số thông tin về các tệp độc hại, hạ tầng đã được nhóm APT Moshen Dragon sử dụng:
Các tệp DLL bị xâm nhập
Các tệp được tải về
Bộ lọc mật khẩu
GUNTERS
Các C&C server
Nam Trần
15:00 | 22/04/2021
15:00 | 28/11/2022
14:00 | 27/10/2023
14:00 | 10/05/2023
10:00 | 25/03/2022
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
13:00 | 14/12/2023
RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
14:00 | 08/11/2023
Một nhóm tin tặc hacktivist ủng hộ phong trào Hamas đã bị phát hiện đang sử dụng phần mềm độc hại Wiper mới dựa trên hệ điều hành Linux với mục tiêu nhắm vào các công ty của Israel, trong bối cảnh cuộc chiến quân sự giữa Israel và Hamas đang diễn ra.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024