Công cụ gián điệp mới USBCulprit đánh cắp dữ liệu từ các máy tính Air-Gapped

Theo một nghiên cứu mới được công bố bởi Kaspersky hôm qua, một kẻ tấn công an ninh mạng người Trung Quốc đã phát triển các phương pháp tấn công mới nhắm vào các hệ thống air-gapped trong một nỗ lực nhằm đánh cắp các dữ liệu nhạy cảm dùng cho mục đích tình báo.



The APT, hay còn được biết đến với tên gọi Cycldek, Goblin Panda, hoặc Conimes, sử dụng một bộ công cụ mở rộng dùng cho hoạt động di chuyển kênh bên (lateral movement) và đánh cắp thông tin trong các mạng của nạn nhân, bao gồm cả các công cụ tùy chỉnh, chiến thuật và các thủ tục không được trình báo trước đây trong các cuộc tấn công chống lại các cơ quan chính phủ tại Việt Nam, Thái Lan và Lào.



“Một trong những công cụ mới được tìm thấy có tên là USBCulprit và đã bị phát hiện lợi dụng phương tiện USB để trích xuất và đánh cắp dữ liệu của nạn nhân”, Kaspersky cho biết. “Điều này có thể cho thấy Cycldek đang cố gắng tiếp cận các mạng air-gapped trong môi trường của nạn nhân hoặc dựa vào sự hiện diện vật lý nhằm vào cùng một mục đích.”



Bị theo dõi lần đầu vào năm 2013 bởi CrowdStrike , Cycldek có một lịch sử dài liên quan đến các lĩnh vực quốc phòng, năng lượng và chính phủ thuộc khu vực Đông Nam Á, đặc biệt là tại Việt Nam, nó đã sử dụng các tài liệu bẫy (decoy document) nhằm khai thác các lỗ hổng tồn tại (ví dụ: CVE-2012-0158, CVE-2017-11882 , CVE-2018-0802) trong Microsoft Office để gài một mã độc có tên là NewCore RAT.



Trích xuất dữ liệu đến Ổ đĩa di động (Removable Drives)



Phân tích của Kaspersky về NewCore  đã tiết lộ hai biến thể khác nhau (được đặt tên là BlueCore và RedCore) tập trung vào hai cụm hoạt động, với sự tương đồng cả về mã code và cơ sở hạ tầng, nhưng RedCore cũng chứa những tính năng độc quyền – như là phần mềm keylogger và  RDP logger ghi lại những thông tin chi tiết về người dùng khi kết nối với một hệ thống thông qua phần mềm RDP.



“Mỗi cụm hoạt động có một trọng tâm địa lý khác nhau,” các nhà nghiên cứu cho biết. “Những nhà điều khiển đằng sau cụm BlueCore đầu tư hầu hết công sức của họ vào các mục tiêu Việt Nam và một số mục tiêu ngoại lai khác ở Lào và Thái Lan, trong khi những nhà điều khiển của cụm RedCore thì bắt đầu với việc tập trung vào Việt Nam và sau đó chuyển hướng sang Lào vào cuối năm 2018.”



Cả hai cụm BlueCore và RedCore, đều lần lượt thay phiên nhau, tải xuống một loạt các công cụ bổ sung để tạo điều kiện cho việc di chuyển bên (HDoor) và trích xuất thông tin (JsonCookies và ChromePass) từ các hệ thống bị xâm nhập.



Đứng đầu trong số đó là một mã độc có tên là USBCulprit, có khả năng quét một số đường dẫn, thu thập các tài liệu với các tiện ích mở rộng cụ thể (* .pdf; *. Doc; *. Wps; * docx; * ppt; *. Xls; *. Xlsx; * .pptx; *. rtf) và xuất chúng tới một ổ USB đã được kết nối.



Hơn nữa, mã độc này còn được lập trình để sao chép chính nó một cách có chọn lọc vào các ổ đĩa di động (removable drives) nhất định khiến nó có thể di chuyển bên sang các hệ thống air-gapped khác mỗi lần ổ USB bị nhiễm được cắm vào một thiết bị khác.



Một phân tích từ xa của Kaspersky đã phát hiện ra rằng phiên bản nhị phân đầu tiên có kỳ hạn từ năm 2014, với các mẫu mới nhất được ghi nhận vào cuối năm ngoái.



Cơ chế lây nhiễm ban đầu của mã độc này dựa vào việc tận dụng các mã nhị phân độc hại bắt chước các thành phần chống vi-rút hợp pháp để tải  USBCulprit bằng một phương pháp được gọi là chiếm quyền tìm kiếm DLL (DDL search order hijacking) trước khi tiến hành thu thập các thông tin liên quan, lưu chúng dưới dạng một tài liệu lưu trữ RAR đã được mã hóa và trích xuất dữ liệu đó tới một thiết bị di động đã được kết nối.



“Các đặc tính của mã độc này có thể làm phát sinh một số giả định về mục đích và các trường hợp sử dụng của nó, một trong số đó là việc tiếp cận và lấy dữ liệu từ các thiết bị air-gapped”, các nhà nghiên cứu cho biết. “Điều này sẽ giải thích cho việc thiếu các giao tiếp mạng trong mã độc này và việc chỉ sử dụng phương tiện lưu động (removable media) như một phương tiện truyền dữ liệu trong và ngoài nước (inbound and outbound data).”



Sau cùng, mối tương đồng và sự khác biệt giữa hai cụm trong mã độc này là dấu hiệu cho thấy thực tế rằng những kẻ tấn công đằng sau các cụm đang chia sẻ mã code và cơ sở hạ tầng với nhau, trong khi vẫn hoạt động như hai nhánh khác nhau dưới một thực thể lớn hơn.



“Cycldek là một ví dụ về một kẻ tấn công có khả năng rộng và lớn hơn nhiều so với những gì đã công khai mà chúng ta có thể nhận thức được”, Kaspersky kết luận. “Trong khi những mô tả về các hoạt động được biết đến nhiều nhất của những kẻ tấn công này thường mang đến ấn tượng ban đầu về một nhóm tấn công nhỏ lẻ với  khả năng giới hạn, tuy nhiên, nếu xem xét thời gian hoạt động cũng như sự đa dạng về công cụ của chúng, cho thấy nhóm tấn công này từ lâu đã có một chỗ đứng vững chắc trong mạng lưới nhắm tới các mục tiêu tầm cỡ tại khu vực Đông Nam Á.”



Nguồn: https://thehackernews.com/new-usbculprit-espionage-tool-steals-data-from-air-gapped-computers
The post Công cụ gián điệp mới USBCulprit đánh cắp dữ liệu từ các máy tính Air-Gapped appeared first on SecurityDaily .