Tin tặc APT của Trung Quốc tấn công các công ty truyền thông, tài chính và điện tử của Đài Loan

Mới đây , các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch gián điệp mạng nhắm vào các công ty hoạt động trong lĩnh vực truyền thông, xây dựng, kỹ thuật, điện tử, và tài chính tại Nhật Bản, Đài Loan, Mỹ và Trung Quốc.



Nhóm chuyên gia truy tìm mối đe dọa của Symantec (Threat Hunter Team) cho rằng chiến dịch này có liên quan tới một nhóm APT có trụ sở tạ i Trung Quốc tên là Palmerworm (hay còn gọi là BlackTech). Được biết nhóm tin tặc này bắt đầu tấn công liên tục từ tháng 8 năm 2019, tuy nhiên cho tới hiện tại các nhà nghiên cứu vẫn chưa rõ động cơ cuối cùng của chúng là gì.



“Mặc dù chúng tôi không rõ Palmerworm đang đánh cắp những thông tin gì từ nạn nhân. Nhưng nhiều khả năng đây là một nhóm gián điệp mạng và động cơ chính của chúng là đánh cắp thông tin nhạy cảm từ các công ty mục tiêu,” công ty an ninh mạng cho biết.



Trong số nhiều nạn nhân bị ảnh hưởng bởi Palmerworm còn có sự góp mặt của cả các công ty truyền thông, điện tử và tài chính có trụ sở tại Đài Loan, một công ty kỹ thuật ở Nhật Bản và một công ty xây dựng ở Trung Quốc.



Ngoài việc sử dụng mã độc tùy chỉnh (custom malware) để xâm nhập vào hệ thống của các tổ chức, nhóm tin tặc này còn duy trì tấn công vào một công ty truyền thông ở Đài Loan trong suốt một năm, với hoạt động gần đây nhất bị phát hiện là vào tháng 8 vừa qua. Điều này đã cho thấy sự quan tâm đặc biệt của Trung Quốc đối với tình hình kinh tế chính trị tại Đài Loan.



Đây không phải là lần đầu tiên BlackTech bị phát hiện đang lén lút theo dõi các tổ chức kinh doanh ở Đông Á. Theo một báo cáo vào năm 2017, Trend Micro cho biết nhóm tin tặc này đã dàn dựng và đứng sau điều khiển ba chiến dịch PLEAD, Shrocted Crossbow, và Waterbear, nhằm mục đích đánh cắp tài liệu tuyệt mật và tài sản trí tuệ của nhiều mục tiêu khác nhau trên toàn cầu.



Sau khi xác định được một số mẫu mã độc khớp với mã độc của chiến dịch PLEAD, các nhà nghiên cứu cho biết họ đã phát hiện ra 4 backdoor chưa được tìm thấy trước đó là Backdoor.Consock, Backdoor.Waship, Backdoor.Dalwit, và Backdoor.Nomri. Nhóm nghiên cứu cho rằng những backdoor này là “những công cụ mới được tin tặc phát triển, hoặc đã được cải tiến từ các công cụ Palmerworm cũ trước đó”.



Chỉ riêng việc sử dụng bộ công cụ mã độc tuỳ chỉnh cũng đã khiến việc tấn công trở nên khó khăn. Vì thế, nhóm tin tặc đã sử dụng các công cụ lưỡng dụng (dual-use tool) như Putty, PSExec, SNScan và WinRAR, cùng các chứng chỉ code-signing đánh cắp được để ký xác thực số cho các payload độc hại, nhằm tránh bị phát hiện. Được biết chiến thuật tấn công này đã từng được nhóm tin tặc áp dụng trước đây.



Một vấn đề khác mà các nhà nghiên cứu vẫn chưa nắm rõ là vector lây nhiễm mà Palmerworm sử dụng để bước đầu xâm nhập vào mạng lưới của nạn nhân. Chỉ biết rằng trong quá khứ, nhóm tin tặc này đã từng lợi dụng các email lừa đảo spear-phishing để phân phối và cài đặt backdoor. Các backdoor này thường được ngụy trang dưới dạng các file đính kèm hoặc các đường link dẫn tới các dịch vụ lưu trữ đám mây.



“Các nhóm tin tặc APT đang tích cực hoạt đông trở lại trong suốt năm qua. Việc lợi dụng các công cụ lưỡng dụng và kỹ thuật living-off-the-land khiến hoạt động tấn công của chúng càng khó phát hiện hơn bao giờ hết. Điều này cho thấy sự cấp thiết của một giải pháp bảo mật toàn diện, có khả năng phát hiện nhanh chóng những cuộc tấn công nguy hiểm như trên,” Symantec cho biết.



Theo The Hacker News
The post Tin tặc APT của Trung Quốc tấn công các công ty truyền thông, tài chính và điện tử của Đài Loan appeared first on SecurityDaily .