Phát hiện chiến dịch gián điệp mạng nhắm vào quân đội Ấn Độ

Mới đây, các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch gián điệp mạng đang nhắm vào các đơn vị quốc phòng và nhân viên lực lượng vũ trang của Ấn Độ. Chúng được dự đoán đã bắt đầu hoạt động từ năm 2019 và tấn công với mục đích chính là đánh cắp thông tin nhạy cảm của nạn nhân.



Được công ty an ninh mạng Ấn Độ Quick Heal đặt tên là “ Operation SideCopy “, chiến dịch này được cho là đang điều hành bởi một nhóm tin tặc APT. Chúng đã tránh được radar của các cơ quan chức năng bằng cách bằng cách “sao chép” chiến thuật của một số nhóm tấn công khác như SideWinder .



Khai thác lỗ hổng Microsoft Equation Editor



Được biết chiến dịch bắt nguồn từ một email có chứa file đính kèm độc hại. File đính kèm này được ngụy trang dưới dạng file ZIP chứa một file LNK hoặc một tài liệu Microsoft Word và có chức năng kích hoạt một chuỗi lây nhiễm, thông qua nhiều bước khác nhau để tải xuống payload ở giai đoạn cuối.



Điều đáng chú ý là bên cạnh việc tạo ra ba chuỗi lây nhiễm khác nhau, chúng còn sử dụng một trong ba chuỗi này để khai thác template injection và lỗ hổng Microsoft Equation Editor ( CVE-2017-11882 ). Đây là một lỗi gián đoạn bộ nhớ có tuổi đời 20 năm trên Microsoft Office, nếu khai thác thành công sẽ cho phép kẻ tấn công thực thi mã từ xa trên một máy tính bị lây nhiễm ngay cả khi không có sự tương tác của người dùng.



Microsoft đã giải quyết vấn đề này trong một bản vá được phát hành vào tháng 11 năm 2017 .



Như thường thấy ở các chiến dịch malspam, cuộc tấn công này cũng kết hợp các biện pháp tấn công phi kỹ thuật để dụ người dùng mở một tài liệu word giả mạo là chính sách sản xuất quốc phòng của chính phủ Ấn Độ.



Hơn nữa, các file LNK có phần mở rộng kép (“Defense-Production-Policy-2020.docx.lnk”) và đi kèm với các biểu tượng tài liệu, do đó càng khiến các nạn nhân không cảnh giác dễ bị “mắc câu” hơn.



Sau khi được mở, file LNK sẽ lợi dụng “ mshta.exe ” để thực thi các file HTA độc hại (viết tắt của Microsoft HTML Applications) được lưu trữ trên các trang web lừa đảo. Các file HTA này được tạo bằng cách sử dụng một công cụ tạo payload mã nguồn mở có tên là CACTUSTORCH .



Quy trình phân phối mã độc nhiều giai đoạn



Stage-1 HTA bao gồm một tài liệu “bẫy” và một mô-đun .NET độc hại, được dùng để thực thi tài liệu nói trên và tải xuống một stage-2 HTA. Sau đó, stage-2 HTA này sẽ lần lượt kiểm tra xem có sự hiện diện của các phần mềm diệt vi-rút phổ biến trên máy nạn nhân hay không, trước khi sao chép lại thông tin đăng nhập của Microsoft và khôi phục tiện ích (“credwiz.exe”) ở một thư mục khác trên máy nạn nhân và sửa đổi registry để chạy tệp thực thi đã sao chép mỗi khi máy được khởi động.



Do đó, khi file này được thực thi, nó không chỉ side-load (tải bên) một file “DUser.dll” độc hại, mà nó còn khởi chạy mô-đun RAT “winms.exe”. Cả hai file này đều được lấy từ stage-2 HTA.



“DUser.dll này sẽ bắt đầu kết nối qua địa chỉ IP ‘173.212.224.110’ qua cổng TCP 6102,” các nhà nghiên cứu cho biết.



“Sau khi kết nối thành công, nó sẽ tiến hành thực hiện các hoạt động khác nhau dựa trên lệnh nhận được từ máy chủ C2. Chẳng hạn như nếu C2 gửi 0, thì nó sẽ thu thập tên máy tính, tên người dùng, phiên bản hệ điều hành, v.v. và gửi những thông tin này trở lại C2.”



Sau khi nhận thấy những điểm tương đồng ở cấp độ code của mã độc RAT này với Allakore Remote – phần mềm truy cập từ xa nguồn mở được viết bằng Delphi, nhóm nghiên cứu Seqrite của Quick Heal cho rằng trojan này đã lợi dụng giao thức RFB (remote frame buffer) của Allakore để trích xuất dữ liệu ra khỏi hệ thống bị nhiễm độc.



Mối liên hệ mật thiết với nhóm tin tặc Transparent Tribe



Ngoài ra, một số chuỗi tấn công còn thả một mã độc .NET-based RAT chưa từng biết đến trước đây và được các nhà nghiên cứu của Kaspersky đặt tên là “Crimson RAT”. Crimson RAT này được trang bị với đa dạng các khả năng khác nhau, bao gồm truy cập các file, dữ liệu trên clipboard, loại bỏ các process, và thậm chí thực thi các lệnh tùy ý.



Mặc dù phương thức đặt tên file DLL có nhiều điểm tương đồng với nhóm tin tặc SideWinder. Nhưng việc nhóm APT này phụ thuộc phần lớn vào bộ công cụ mã nguồn mở và một cơ sở hạ tầng C2 hoàn toàn khác đã khiến các nhà nghiên cứu kết luận rằng kẻ tấn công đứng sau chiến dịch là người gốc Pakistan và thuộc nhóm tin tặc Transparent Tribe. Đây là nhóm tin tặc khét tiếng có liên quan đến một loạt các cuộc tấn công nhắm vào quân đội và nhân viên chính phủ Ấn Độ thời gian gần đây.



“Do đó, chúng tôi nghi ngờ rằng kẻ tấn công đứng sau chiến dịch này là một bộ phận trực thuộc nhóm APT Transparent-Tribe. Và chúng chỉ đang sao chép TTP của các nhóm tin tặc khác để đánh lừa cộng đồng an ninh mạng,” Quick Heal nói.



Theo The Hacker News
The post Phát hiện chiến dịch gián điệp mạng nhắm vào quân đội Ấn Độ appeared first on SecurityDaily .