Theo đó, cùng với GhostSpider, các nhà nghiên cứu Trend Micro phát hiện ra rằng nhóm tin tặc Salt Typhoon cũng sử dụng một backdoor Linux đã được ghi nhận trước đó có tên là Masol RAT, một rootkit có tên là Demodex và một mô-đun backdoor được chia sẻ giữa các nhóm APT Trung Quốc có tên là SnappyBee.
Hình 1. Biểu đồ lây nhiễm
Salt Typhoon (hay còn gọi là Earth Estries, GhostEmperor hoặc UNC2286) là một nhóm tin tặc tinh vi đã hoạt động ít nhất từ năm 2019 và thường tập trung vào việc xâm nhập vào các tổ chức chính phủ và công ty viễn thông trên toàn cầu.
Các tin tặc Salt Typhoon gần đây đã trở thành tâm điểm chú ý sau một chiến dịch gián điệp mạng liên quan đến Trung Quốc đã xâm phạm mạng lưới của nhiều công ty viễn thông Mỹ bao gồm Verizon, AT&T, Lumen Technologies và T-Mobile. Những kẻ tấn công được cho là đã truy cập dữ liệu hồ sơ cuộc gọi của khách hàng, đặc biệt nhắm vào những cá nhân tham gia vào các hoạt động chính phủ hoặc chính trị.
Sau đó, Salt Typhoon được cho cũng đã khai thác được các thông tin liên lạc riêng tư của một số quan chức Chính phủ Mỹ và đánh cắp thông tin liên quan đến yêu cầu nghe lén được tòa án cho phép.
Theo Trend Micro, nhóm tin tặc này đã tấn công mạng các ngành viễn thông, cơ quan chính phủ, công nghệ, tư vấn, hóa chất và giao thông vận tải tại Mỹ, khu vực châu Á - Thái Bình Dương, Trung Đông, Nam Phi và các khu vực khác.
Các nhà nghiên cứu bảo mật đã xác nhận ít nhất 20 trường hợp các tin tặc Salt Typhoon xâm nhập thành công vào các tổ chức quan trọng, trong một số trường hợp bao gồm cả nhà cung cấp của họ.
Một trong hai chiến dịch được nêu bật trong báo cáo của Trend Micro là “Alpha”, nhắm mục tiêu vào Đài Loan và các nhà sản xuất hóa chất bằng cách sử dụng Demodex và SnappyBee.
Hình 2. Tổng quan về chiến dịch Alpha
Quyền truy cập ban đầu được thực hiện thông qua việc khai thác các điểm cuối công khai dễ bị tấn công, sử dụng các lỗ hổng sau:
- CVE-2023-46805, CVE-2024-21887 (Ivanti Connect Secure VPN)
- CVE-2023-48788 (Fortinet FortiClient EMS)
- CVE-2022-3236 (Tường lửa Sophos)
- CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, CVE-2021-27065 (Microsoft Exchange – ProxyLogon)
Salt Typhoon sử dụng các công cụ LOLbin để thu thập thông tin tình báo và di chuyển mạng ngang hàng trong giai đoạn sau khi xâm nhập.
Chiến dịch tấn công thứ hai được theo dõi là Beta, một hoạt động gián điệp bền bỉ nhằm vào các mạng lưới viễn thông và chính phủ tại Đông Nam Á, các tin tặc đã sử dụng GhostSpider và Demodex để tấn công mạng vào các mục tiêu đã chọn.
Hình 3. Tổng quan chiến dịch Beta
Theo Trend Micro, thiết kế mô-đun của GhostSpider cho phép kẻ tấn công triển khai hoặc cập nhật các mô-đun khác nhau một cách độc lập dựa trên nhu cầu của chúng. Cách tiếp cận này làm phức tạp quá trình phát hiện và phân tích, khiến các nhà nghiên cứu khó hiểu đầy đủ chức năng của phần mềm độc hại.
Phần mềm độc hại này được tải (upload) trên hệ thống mục tiêu bằng cách sử dụng DLL hijacking và được đăng ký như một dịch vụ thông qua công cụ regsvr32[.]exe hợp pháp, trong khi một mô-đun thứ hai, beacon loader, tải các dữ liệu được mã hóa trực tiếp vào bộ nhớ.
GhostSpider thực thi các lệnh nhận được từ máy chủ điều khiển và ra lệnh (C2), được ẩn trong tiêu đề HTTP hoặc cookie để “xáo trộn” với lưu lượng truy cập hợp pháp.
Backdoor hỗ trợ các lệnh sau:
1. Upload: Tải một mô-đun độc hại vào bộ nhớ để thực hiện các tác vụ cụ thể do kẻ tấn công kiểm soát.
2. Create: Kích hoạt mô-đun đã tải bằng cách khởi tạo các tài nguyên cần thiết cho hoạt động của mô-đun đó.
3. Normal: Thực hiện chức năng chính của mô-đun được tải, chẳng hạn như lọc dữ liệu hoặc thao tác hệ thống.
4. Close: Xóa mô-đun đang hoạt động khỏi bộ nhớ để giảm thiểu dấu vết và giải phóng tài nguyên hệ thống.
5. Update: Điều chỉnh hành vi của phần mềm độc hại, chẳng hạn như khoảng thời gian giao tiếp, để duy trì khả năng lẩn tránh và hoạt động hiệu quả.
6. Heartbeat: Duy trì liên lạc định kỳ với máy chủ C2 để xác nhận hệ thống vẫn có thể truy cập được.
Cấu trúc của các lệnh này mang lại tính linh hoạt cho backdoor và cho phép Salt Typhoon điều chỉnh cuộc tấn công khi cần thiết, điều này tùy thuộc vào mạng lưới và các biện pháp phòng vệ trên các mục tiêu tấn công.
Hình 4. Chuỗi lây nhiễm GhostSpider
Ngoài GhostSpider, Salt Typhoon còn dựa vào một bộ công cụ được chia sẻ giữa các tác nhân đe dọa khác của Trung Quốc, cho phép chúng tiến hành các hoạt động gián điệp phức tạp, nhiều giai đoạn, từ các thiết bị biên đến môi trường đám mây.
1. SNAPPYBEE: Backdoor dạng mô-đun (còn gọi là Deed RAT) được sử dụng để truy cập và do thám lâu dài. Backdoor này hỗ trợ các chức năng như trích xuất dữ liệu, giám sát hệ thống và thực hiện lệnh của kẻ tấn công.
2. MASOL RAT: Backdoor đa nền tảng ban đầu được xác định nhắm mục tiêu vào các chính phủ tại Đông Nam Á, tập trung vào các máy chủ Linux, cho phép truy cập từ xa và thực thi lệnh.
3. DEMODEX: Rootkit được sử dụng để duy trì sự tồn tại trên các hệ thống bị xâm phạm, phần mềm độc hại này tận dụng các kỹ thuật chống phân tích và đảm bảo kẻ tấn công không bị phát hiện trong thời gian dài.
4. SparrowDoor: Backdoor này cung cấp khả năng truy cập từ xa, được sử dụng để di chuyển ngang hàng và thiết lập liên lạc với máy chủ C2.
5. CrowDoor: Backdoor được sử dụng cho mục đích gián điệp, đặc biệt nhắm vào các tổ chức chính phủ và viễn thông, tập trung vào hoạt động lẩn tránh và đánh cắp dữ liệu.
6. ShadowPad: Phần mềm độc hại được chia sẻ giữa các nhóm APT Trung Quốc, được sử dụng để do thám và kiểm soát hệ thống, hoạt động như một nền tảng mô-đun để triển khai nhiều plugin độc hại khác nhau.
7. NeoReGeorg: Công cụ tunel được sử dụng để tạo các kênh truyền thông bí mật, cho phép kẻ tấn công vượt qua hệ thống phòng thủ mạng và kiểm soát các hệ thống bị xâm phạm.
8. frpc: Công cụ reverse proxy mã nguồn mở được sử dụng để tạo kết nối an toàn tới máy chủ C2, cho phép đánh cắp dữ liệu và thực thi lệnh từ xa.
9. Cobalt Strike: Công cụ kiểm tra xâm nhập bị kẻ tấn công lợi dụng để tạo ra các tín hiệu (beacon) cho hoạt động di chuyển ngang hàng, leo thang đặc quyền và điều khiển từ xa.
Trend Micro kết luận bằng cách mô tả Salt Typhoon là một trong những nhóm APT Trung Quốc tinh vi nhất, đồng thời kêu gọi các tổ chức phải luôn cảnh giác và áp dụng nhiều biện pháp phòng thủ an ninh mạng.
Chiến dịch chống lại Mỹ của Salt Typhoon khác với chiến dịch của một nhóm tin tặc Trung Quốc khác là Volt Typhoon, nhóm này gần đây đã xâm nhập vào cơ sở hạ tầng quan trọng để thực hiện các hành động phá hoại.
Tuy nhiên, Trend Micro lưu ý rằng Salt Typhoon có thể chia sẻ công cụ với các tin tặc khác do nhà nước Trung Quốc tài trợ, vì kỹ thuật và phần mềm độc hại của họ thường chồng chéo nhau.
Trần Bắc
14:00 | 05/06/2023
15:00 | 18/12/2023
09:00 | 25/10/2023
15:00 | 19/12/2024
07:00 | 02/12/2024
Theo cảnh báo của Trung tâm Ứng cứu khẩn cấp không gian mạng Việt Nam (VNCERT/CC) thuộc Cục An toàn thông tin, Bộ Thông tin và Truyền thông, các thủ đoạn lừa đảo tài chính trực tuyến đang gia tăng tại Việt Nam, nhất là chiêu trò giả mạo tổ chức tài chính để mời chào người dân vay tiền, từ đó chiếm đoạt thông tin và tài sản.
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
09:00 | 16/10/2024
Các nhà nghiên cứu của hãng bảo mật Zscaler (Mỹ) đã phân tích một biến thể mới của Copybara, một họ phần mềm độc hại Android xuất hiện vào tháng 11/2021. Copybara là một Trojan chủ yếu lây nhiễm thông qua các cuộc tấn công lừa đảo bằng giọng nói (vishing), trong đó nạn nhân nhận được hướng dẫn qua điện thoại để cài đặt phần mềm độc hại Android. Bài viết sẽ phân tích về biến thể mới của Copybara dựa trên báo cáo của Zscaler.
10:00 | 04/10/2024
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025