Tin tặc Trung Quốc bị phát hiện khai thác các sản phẩm antivirus phổ biến để nhắm vào lĩnh vực viễn thông


Một nhóm gián điệp mạng có liên kết với Trung Quốc được phát hiện đã tấn công vào lĩnh vực viễn thông ở khu vực Trung Á với các mã độc như ShadowPad và PlugX.



Công ty an ninh mạng SentinelOne đã gán các cuộc tấn công với một tin tặc mà họ theo dõi dưới cái tên “Moshen Dragon”. Ngoài ra còn có những điểm tương đồng trong chiến thuật với một nhóm tin tặc khác được gọi là Nomad Panda (hay còn gọi là RedFoxtrot ).



Joey Chen của SentinelOne cho biết : “PlugX và ShadowPad có lịch lâu đời trong cộng đồng tin tặc nói tiếng Trung Quốc chủ yếu cho hoạt động gián điệp. Những công cụ này có chức năng linh hoạt, mô-đun hoạt động tốt và sử dụng shellcode để dễ dàng vượt qua các sản phẩm bảo vệ điểm cuối truyền thống”.



ShadowPad , được coi như là “Kiệt tác của mã độc được bán riêng cho hoạt động gián điệp ở Trung Quốc”. Nổi lên như truyền nhân của PlugX vào năm 2015, ngay cả khi các biến thể của PlugX liên tục xuất hiện như một phần của các chiến dịch khác nhau liên quan đến các tin tặc Trung Quốc”.



Mặc dù được biết là được triển khai bởi nhóm hacker do chính phủ tài trợ có tên là Bronze Atlas (hay còn gọi là APT41 , Barium hoặc Winnti) từ ít nhất năm 2017, nhưng ngày càng có nhiều mối đe dọa có liên kết với Trung Quốc tham gia vào cuộc chiến.



Đầu năm nay, Secureworks đã quy kết hoạt động của nhóm ShadowPad các nhóm được Trung Quốc tài trợ phối hợp cùng với cơ quan tình báo dân sự của Bộ An ninh Nhà nước (MSS) và Quân đội Giải phóng Nhân dân (PLA).



Các phát hiện mới nhất từ ​​SentinelOne phù hợp với một báo cáo trước đó của Trellix vào cuối tháng 3, cho thấy một chiến dịch tấn công của RedFoxtrot nhắm vào các lĩnh vực viễn thông và quốc phòng ở Nam Á với một biến thể mới của mã độc PlugX có tên là Talisman .



Các TTP của Moshen Dragon liên quan đến việc lạm dụng phần mềm antivirus của BitDefender, Kaspersky, McAfee, Symantec và Trend Micro để tải ShadowPad và Talisman vào các hệ thống bị xâm nhập bằng kỹ thuật gọi là chiếm quyền điều khiển tìm kiếm DLL ( DLL search order hijacking ).



Trong bước tiếp theo, DLL bị tấn công được sử dụng để giải mã và phát tán ShadowPad hoặc PlugX nằm trong cùng thư mục với file antivirus. Nó đạt được tính bền bỉ bằng cách tạo một tác vụ hoặc một dịch vụ đã lên lịch sẵn.



Ngoài việc chiếm quyền điều khiển các sản phẩm bảo mật, các chiến thuật khác được nhóm áp dụng bao gồm việc sử dụng các công cụ hack đã biết và các file script của đội đỏ để tạo điều kiện cho hành vi trộm cắp thông tin xác thực và trích xuất dữ liệu. Hướng truy cập ban đầu hiện vẫn chưa được làm rõ.



Chen cho biết: “Một khi những kẻ tấn công đã tạo dựng được chỗ đứng, chúng sẽ tiến hành cách tận dụng Impacket trong mạng, đặt một cửa hậu thụ động, thu thập càng nhiều thông tin xác thực càng tốt để đảm bảo quyền truy cập không giới hạn và tập trung vào việc trích xuất dữ liệu”.



Theo Thehackernews
The post Tin tặc Trung Quốc bị phát hiện khai thác các sản phẩm antivirus phổ biến để nhắm vào lĩnh vực viễn thông appeared first on SecurityDaily .

Top News