Tin tặc LuoYu của Trung Quốc sử dụng các cuộc tấn công Man-on-the-Side để triển khai WinDealer Backdoor

Một nhóm tin tặc nâng cao (APT) “cực kỳ tinh vi” nói tiếng Trung Quốc có tên là LuoYu đã được phát hiện sử dụng một công cụ Windows độc hại có tên WinDealer được phát tán bằng các cuộc tấn công man-on-the-side.



Công ty an ninh mạng Kaspersky của Nga cho biết trong một báo cáo mới đây rằng: “Sự phát triển đột phá này cho phép tin tặc sửa đổi lưu lượng mạng trong quá trình vận chuyển để chèn mã độc. Các cuộc tấn công như vậy đặc biệt nguy hiểm và tàn khốc vì chúng không yêu cầu bất kỳ tương tác nào với mục tiêu để dẫn đến lây nhiễm thành công”.



Được biết là đã hoạt động từ năm 2008, các tổ chức mà LuoYu nhắm đến chủ yếu là các tổ chức ngoại giao nước ngoài được thành lập tại Trung Quốc và các thành viên của cộng đồng học thuật cũng như các công ty tài chính, quốc phòng, hậu cần và viễn thông.



Việc LuoYu sử dụng WinDealer lần đầu tiên được ghi nhận bởi công ty an ninh mạng Đài Loan TeamT5 tại Hội nghị nhà phân tích bảo mật Nhật Bản (JSAC) vào tháng 1/2021. Các chiến dịch tấn công tiếp theo đã sử dụng phần mềm độc hại này để nhắm vào các mục tiêu ở Nhật Bản, với các trường hợp lây nhiễm biệt lập được báo cáo ở Áo, Đức, Ấn Độ, Nga, và Hoa Kỳ.



Các công cụ nổi bật khác trong kho vũ khí phần mềm độc hại của tin tặc ít được biết đến hơn bao gồm PlugX và kế nhiệm của nó là ShadowPad . Cả hai đều đã được nhiều nhóm tin tặc Trung Quốc sử dụng để thực hiện các mục tiêu chiến lược của họ. Ngoài ra, nhóm này được biết là nhắm vào các thiết bị Linux, macOS và Android.



Về phần WinDealer, nó trước đây đã được phát tán thông qua các trang web hoạt động như những lỗ hổng và dưới dạng các ứng dụng bị nhiễm trojan giả mạo thành các dịch vụ lưu trữ video và nhắn tin như Tencent QQ và Youku.



Tuy nhiên, vectơ lây nhiễm kể từ đó đã được thay đổi với một phương thức phát tán khác sử dụng cơ chế cập nhật tự động của các ứng dụng hợp pháp được chọn để phục vụ phiên bản bị nhiễm mã độc trong “vài trường hợp hiếm hoi”.



WinDealer, một nền tảng mã độc mô-đun đi kèm với tất cả các tiện ích thường được thấy ở một cửa hậu truyền thống, cho phép nó thu thập thông tin nhạy cảm, chụp ảnh màn hình và thực hiện các lệnh tùy ý.



Nhưng điểm khác biệt của nó là việc sử dụng một thuật toán tạo IP phức tạp để chọn một máy chủ điều khiển và kiểm soát (C2) để kết nối ngẫu nhiên từ một nhóm gồm 48.000 địa chỉ IP.



Công ty này cho biết: “Cách duy nhất để giải thích những hành vi dường như không tưởng này là giả định về sự tồn tại của một kẻ tấn công trực diện, kẻ có thể chặn tất cả lưu lượng mạng và thậm chí sửa đổi nó nếu cần”.



Một cuộc tấn công man-on-the-side (kẻ bên lề), tương tự như một cuộc tấn công man-in-the-middle (kẻ ở giữa), cho phép hacker đọc và đưa các tin nhắn tùy ý vào một kênh liên lạc, nhưng không thể sửa đổi hoặc xóa các tin nhắn do các bên khác gửi.



Các cuộc tấn công man-on-the-side thường dựa vào việc căn thời gian các tin nhắn của chúng theo cách mà phản hồi độc hại có chứa dữ liệu do kẻ tấn công cung cấp sẽ được gửi theo yêu cầu của nạn nhân về máy chủ web trước phản hồi thực sự từ máy chủ.



Chuyên gia bảo mật Suguru Ishimaru cho biết: “Các cuộc tấn công man-on-the-side là cực kỳ tàn khốc vì điều kiện duy nhất cần thiết để tấn công một thiết bị là thiết bị có kết nối với internet”.



“Bất kể cuộc tấn công được thực hiện như thế nào, cách duy nhất để các nạn nhân tiềm năng tự vệ là phải hết sức cảnh giác và có các quy trình bảo mật mạnh mẽ, chẳng hạn như quét vi-rút thường xuyên, phân tích lưu lượng mạng chiều ra và theo dõi nhật ký sát sao để phát hiện các điểm bất thường”.



Theo Thehackernews
The post Tin tặc LuoYu của Trung Quốc sử dụng các cuộc tấn công Man-on-the-Side để triển khai WinDealer Backdoor appeared first on SecurityDaily .