Một nhóm mối đe dọa trước đây có liên quan đến Trojan truy cập từ xa ShadowPad (RAT) khét tiếng đã được phát hiện sử dụng các phiên bản cũ và lỗi thời của các gói phần mềm phổ biến để tải phần mềm độc hại trên các hệ thống thuộc nhiều tổ chức quốc phòng và chính phủ mục tiêu ở châu Á.
Lý do sử dụng các phiên bản lỗi thời của phần mềm hợp pháp là vì chúng cho phép kẻ tấn công sử dụng một phương pháp nổi tiếng được gọi là sideloading thư viện liên kết động (DLL) để thực thi các tải trọng độc hại của chúng trên hệ thống đích. Hầu hết các phiên bản hiện tại của cùng một sản phẩm đều bảo vệ chống lại vectơ tấn công, về cơ bản liên quan đến việc kẻ thù ngụy trang tệp DLL độc hại thành tệp hợp pháp và đặt tệp đó vào thư mục nơi ứng dụng sẽ tự động tải và chạy tệp.
Các nhà nghiên cứu từ nhóm Symantec Threat Hunter của Broadcom Software đã quan sát thấy ShadowPad- nhóm đe dọa liên quan sử dụng chiến thuật này trong chiến dịch gián điệp mạng. Các mục tiêu của nhóm cho đến nay bao gồm văn phòng thủ tướng, các tổ chức chính phủ có liên quan đến lĩnh vực tài chính, các công ty quốc phòng và hàng không vũ trụ thuộc sở hữu của chính phủ cũng như các công ty viễn thông, CNTT và truyền thông nhà nước. Phân tích của nhà cung cấp bảo mật cho thấy chiến dịch đã diễn ra ít nhất là từ đầu năm 2021, với trọng tâm chính là thông tin tình báo.
Một chiến thuật tấn công mạng nổi tiếng nhưng thành công
“Việc sử dụng các ứng dụng hợp pháp để hỗ trợ tải DLL dường như đang là xu hướng ngày càng tăng của các nhóm gián điệp hoạt động trong khu vực”, Symantec cho biết trong một báo cáo tuần này. Đây là một chiến thuật hấp dẫn vì các công cụ chống phần mềm độc hại thường không phát hiện ra hoạt động độc hại vì những kẻ tấn công đã sử dụng các ứng dụng cũ để tải phụ.
“Ngoài độ tuổi của các ứng dụng, điểm chung khác là chúng đều là những cái tên tương đối nổi tiếng và do đó có thể có vẻ vô hại.” Alan Neville, nhà phân tích tình báo mối đe dọa thuộc nhóm săn lùng mối đe dọa của Symantec cho biết.
Symantec cho biết, việc nhóm đứng sau chiến dịch hiện tại ở châu Á đang sử dụng chiến thuật này mặc dù nó đã được hiểu rõ cho thấy kỹ thuật này đang mang lại một số thành công.
Neville cho biết công ty của ông gần đây không quan sát thấy những kẻ đe dọa sử dụng chiến thuật này ở Mỹ hoặc nơi khác. Ông cho biết thêm: “Kỹ thuật này chủ yếu được sử dụng bởi những kẻ tấn công tập trung vào các tổ chức châu Á”.
Neville nói rằng trong hầu hết các cuộc tấn công trong chiến dịch mới nhất, những kẻ đe dọa đã sử dụng tiện ích Windows PsExec hợp pháp để thực thi các chương trình trên các hệ thống từ xa để thực hiện sideloading và triển khai phần mềm độc hại. Trong mỗi trường hợp, những kẻ tấn công trước đó đã xâm phạm hệ thống mà chúng đã cài đặt các ứng dụng cũ, hợp pháp.
“[Các chương trình] đã được cài đặt trên mỗi máy tính bị xâm nhập mà những kẻ tấn công muốn chạy phần mềm độc hại trên đó. Trong một số trường hợp, có thể có nhiều máy tính trên cùng một mạng nạn nhân”, Neville nói. Trong các trường hợp khác, Symantec cũng quan sát thấy họ triển khai nhiều ứng dụng hợp pháp trên một máy để tải phần mềm độc hại của họ, ông cho biết thêm.
Ông lưu ý: “Họ đã sử dụng khá nhiều phần mềm, bao gồm phần mềm bảo mật, phần mềm đồ họa và trình duyệt Web. Trong một số trường hợp, các nhà nghiên cứu của Symantec cũng quan sát thấy kẻ tấn công sử dụng các tệp hệ thống hợp pháp từ hệ điều hành Windows XP cũ để thực hiện cuộc tấn công.
Logdatter, phạm vi tải trọng độc hại
Một trong những tải trọng độc hại là một kẻ đánh cắp thông tin mới có tên là Logdatter, cho phép kẻ tấn công ghi lại các lần gõ phím, chụp ảnh màn hình, truy vấn cơ sở dữ liệu SQL, chèn mã tùy ý và tải xuống tệp, cùng những thứ khác. Các tải trọng khác mà kẻ đe dọa đang sử dụng trong chiến dịch châu Á của nó bao gồm một Trojan dựa trên PlugX, hai RAT có tên là Trochilus và Quasar và một số công cụ sử dụng kép hợp pháp. Chúng bao gồm Ladon, một khung thử nghiệm thâm nhập, FScan và NBTscan để quét môi trường nạn nhân.
Neville cho biết Symantec đã không thể xác định chắc chắn cách thức mà các tác nhân đe dọa có thể giành được quyền truy cập ban đầu vào môi trường mục tiêu. Nhưng lừa đảo và nhắm mục tiêu theo cơ hội của các hệ thống chưa được vá có khả năng là vectơ.
“Ngoài ra, một cuộc tấn công vào chuỗi cung ứng phần mềm không nằm ngoài tầm kiểm soát của những kẻ tấn công này vì những kẻ có quyền truy cập vào ShadowPad đều có thể bị tấn công. được biết là đã phát động các cuộc tấn công chuỗi cung ứng trong quá khứ,” Neville lưu ý. Khi các tác nhân đe dọa đã giành được quyền truy cập vào một môi trường, chúng có xu hướng sử dụng một loạt công cụ quét như NBTScan, TCPing, FastReverseProxy và Fscan để tìm kiếm các hệ thống khác để nhắm mục tiêu.
Để chống lại các kiểu tấn công này, các tổ chức cần triển khai các cơ chế kiểm tra và kiểm soát phần mềm nào có thể đang chạy trên mạng của họ. Họ cũng nên xem xét triển khai chính sách chỉ cho phép các ứng dụng trong danh sách trắng chạy trong môi trường và ưu tiên vá các lỗ hổng bảo mật trong các ứng dụng công khai.
“Chúng tôi cũng khuyên bạn nên thực hiện hành động ngay lập tức để làm sạch các máy có bất kỳ dấu hiệu xâm phạm nào,” Neville khuyên, “… bao gồm thông tin đăng nhập chu kỳ và tuân theo quy trình nội bộ của tổ chức của bạn để thực hiện điều tra kỹ lưỡng.”
