Tin tặc tấn công có chủ đích vào cơ quan Chính phủ Việt Nam để khai thác thông tin về Hội nghị APEC

15:14 | 28/06/2017 | HACKER / MALWARE

Mới đây, Hãng Checkpoint và chuyên gia của Trung tâm Công nghệ thông tin và Giám sát An ninh mạng (CNTT&GSANM), Ban Cơ yếu Chính phủ đã phát hiện ra một số vụ tấn công mạng có chủ đích, nhằm vào các cơ quan Chính phủ của Việt Nam, để đánh cắp các dữ liệu nhạy cảm, đặc biệt là các dữ liệu về Hội nghị APEC. Mã độc được sử dụng để tấn công có tên Trojan.Farfli, tin tặc nước ngoài bị nghi ngờ là thủ phạm chính.

Năm 2017, Việt Nam là nước chủ nhà của Diễn đàn Hợp tác kinh tế châu Á - Thái Bình Dương (Asia - Pacific Economic Cooperation - APEC). Các hoạt động phục vụ cho Tuần lễ cấp cao APEC (diễn ra vào tháng 11/2017 tại Đà Nẵng) đã diễn ra từ cuối năm 2016. Từ đầu năm 2017 đến nay, nhiều Hội nghị quan chức cấp cao đã diễn ra tại nhiều địa điểm ở Việt Nam.

Nhằm đánh cắp các thông tin về Hội nghị APEC, từ tháng 3/2017 tin tặc đã thực hiện tấn công vào một số cơ quan Chính phủ của Việt Nam. Thủ đoạn mà các tin tặc sử dụng là đính kèm các tập tin (chứa mã độc Trojan.Farfli) trong email giả mạo gửi đến. Khi người dùng mở email, Trojan.Farfli sẽ xâm nhập vào hệ thống và đánh cắp các tài liệu, thông tin của người dùng. Mục tiêu cuối cùng của loại mã độc này là tìm kiếm và đánh cắp các nội dung có liên quan đến các đề xuất mà Chính phủ Việt Nam sẽ đưa ra tại Hội nghị cấp cao APEC sắp tới.

Các chuyên gia của Trung tâm CNTT&GSANM cho biết, mã độc Trojan.Farfli có nhiều điểm tương đồng với loại mã độc có tên PlugX (a.k.a. SOGU, Korplug) đã xuất hiện vào tháng 5 và 6/2015, tấn công vào các quốc gia thuộc khu vực châu Á – Thái Bình Dương.

Bảng 1: Các mẫu liên quan đến các hoạt động tấn công mã độc

Tin tặc tấn công có chủ đích vào cơ quan Chính phủ Việt Nam để khai thác thông tin về Hội nghị APEC

Qua theo dõi, vào các ngày 6,7,14 tháng 3/2017, đã phát hiện một máy chủ của một cơ quan thuộc chính phủ Việt Nam đã bị tấn công bằng mã độc Trojan.Farfli, với các đặc điểm sau:

- Tập tin word có tên "Hợp tác kinh tế Châu Á Thái Bình Dương năm 2017 – 2020 (mard).doc” được gửi đính kèm trong một email giả mạo. Mẫu mã độc (MD5: 293b297852eed02726be916bc43c81f4) chạy song song cùng link phim nổi tiếng Kingkong (CSIDL_COMMON_APPDATA \ basekst \ kingkong.dll) được công chiếu vào cùng thời điểm này.

Máy chủ ra lệnh và điều khiển (tên miền msdns.otzo.com) có địa chỉ IP là 45.121.146.26. Địa chỉ IP này được đăng ký bởi TheGigabit, một nhà cung cấp địa chỉ Hosting tại Malaysia.

Ngoài ra, còn phát hiện một IP từ Việt Nam gửi 2 tài liệu đến các cơ quan chính phủ vào ngày 23 và 28/3/2017 như sau:

- APEC-SMEWG Strategic Plan 2017-2020.doc (MD5: 2030ce7a53ac9846086f60c691b3f9db)

- APEC Strategic Plan 2017-2020(final).doc (MD5: bc41f57ea481c94c97e8ff23735e141b)

Khi mở các tập tin này, thì đồng thời sẽ kích hoạt mã độc và ngay lập tức mã độc này sẽ khai thác lỗ hổng có định danh CVE-2014-4114.

Khi kiểm tra hai mẫu trên, các chuyên gia đã phát hiện có mã độc kết nối tới một địa chỉ website tại Trung Quốc http://ip138.com trước khi có kết nối với máy chủ C&C: ftp.chinhphu.ddns.ms và www.microsoft.https443.org. Cả hai tên miền cùng có địa chỉ IP là 45.121.146.26 – giống với địa chỉ sử dụng trong hành vi của Trojan.Farfli ngày 6, 7 và 14 tháng 3/2017 (hình 1).

Hình 1: Kết nối C&C giữa các mẫu Trojan.Farfli

Cách thức hoạt động của mã độc Trojan.Farfli như sau:

Khi nhiễm vào máy tính, Trojan.Farfli sẽ ghi vào những vị trí sau của registry:

- %ALLUSERSPROFILE%\BaseKst\KingKong.dll

- %ALLUSERSPROFILE%\BaseKst\KingKong

- %ALLUSERSPROFILE%\BaseKst\drv1028.sys

Mã độc Trojan.Farfli payload sẽ thực thi như sau:

rundll32.exe rundll32 "%ALLUSERSPROFILE%\BaseKst\KingKong.dll", Install.

Tiếp theo Trojan.Farfli sẽ ghi vào registry để có thể chạy như một dịch vụ nền:

- HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MediaControl\Parameters\"serviceDll"

- "%SYSTEMROOT%\Documents and Settings\All Users\BaseKst\KingKong.dll"

Sau đó, Trojan.Farfli sẽ kết nối tới máy chủ C&C trước khi thực thi hành động và gửi các thông tin đánh cắp được đến máy chủ C&C, với các thao tác: mở một cửa sổ lệnh điều khiển từ xa; ghi lại thao tác bấm bàn phím; đánh cắp thông tin về máy tính và mạng; chụp ảnh màn hình.

Ngay sau khi phát hiện các cuộc tấn công có chủ đích này, Trung tâm CNTT&GSANM đã phát đi cảnh báo đến các cơ quan, tổ chức về thủ đoạn, hành vi và mục đích của các cuộc tấn công này. Các chuyên gia đánh giá, vì đây là cuộc tấn công có chủ đích, nên sẽ rất khó khăn cho các cơ quan trong việc phát hiện, ngăn chặn và xử lý.

Qua phân tích, các chuyên gia đã đưa ra một số khuyến cáo:

- Người dùng cần hết sức cảnh giác khi nhận được các email có các tài liệu đính kèm có tên file liên quan đến hội nghị APEC. Không nên mở file tài liệu đính kèm, nên forward email về Trung tâm CNTT&GSANM, Ban Cơ yếu Chính phủ (tklinh@bcy.gov.vn) để được kiểm tra, phân tích hoặc có thể chủ động tải lên trang http://www.virustotal.com để kiểm tra trực tuyến.

- Cập nhật bản vá lỗ hổng cho hệ điều hành máy tính, cập nhật mẫu cho chương trình diệt virus.

- Tuyệt đối không được download các chương trình phần mềm đã được bẻ khóa ở trên mạng về cài đặt và sử dụng.

- Download công cụ để kiểm tra hệ thống có bị nhiễm loại mã độc Trojan.Farfli tại đây

‹ › ×

Tin liên quan

Các mối đe dọa nhắm mục tiêu tới các cơ quan chính phủ ngày càng gia tăng

17:00 | 02/07/2021

Nghiên cứu mới đây về gian lận trong khu vực công của Cơ quan báo cáo tín dụng tiêu dùng TransUnion Mỹ nhấn mạnh, các vụ việc như chiếm đoạt tài khoản đã làm giảm lòng tin của người dùng vào các dịch vụ di động và trực tuyến của chính phủ.

Tin cùng chuyên mục

Thế vận hội Paris 2024 sẵn sàng đối phó với thách thức an ninh mạng

08:00 | 17/05/2024

Thế vận hội Paris 2024 đang chuẩn bị để sẵn sàng đối mặt với thách thức chưa từng có về mặt an ninh mạng, với việc các nhà tổ chức dự kiến sẽ phải chịu áp lực rất lớn đối với Thế vận hội vào mùa hè này.

Cảnh báo nhiều lỗ hổng bảo mật thông tin cá nhân trong thời đại chuyển đổi số

10:00 | 13/05/2024

Trong thời đại công nghệ số hiện nay, lỗ hổng bảo mật là một trong những nguyên nhân hàng đầu dẫn đến các cuộc tấn công mạng. Do đó, việc nâng cao hiểu biết và nhận thức về các mối đe dọa mạng ngày càng cần thiết. Việt Nam là một trong những quốc gia có tốc độ phát triển và ứng dụng Internet cao thế giới, thế nhưng vấn đề bảo vệ dữ liệu cá nhân vẫn còn gặp nhiều bất cập trong xu thế toàn cầu hóa về chuyển đổi số. Bài báo sẽ thông tin tới độc giả thực trạng mối đe dọa về lỗ hổng bảo mật; một số lỗ hổng phổ biến; phương thức, thủ đoạn khai thác, nguyên nhân xuất hiện lỗ hổng bảo mật, từ đó đưa ra những giải pháp phòng chống và ngăn chặn.

Phân tích chiến dịch khai thác lỗ hổng Windows SmartScreen để phân phối phần mềm độc hại DarkGate

07:00 | 08/04/2024

Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.

Tin tặc Triều Tiên triển khai phần mềm độc hại Konni RAT nhắm mục tiêu vào Chính phủ Nga

14:00 | 05/03/2024

Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).