Một nhóm hacker người Trung Quốc có liên quan đến một chiến dịch gián điệp online đang nhắm vào các tổ chức chính phủ và quân đội Việt Nam. Các cuộc tấn công được cho là sử dụng các kỹ thuật lừa đảo nhằm xâm phạm các mục tiêu ngoại giao ở Đông Nam Á, Ấn Độ và Hoa Kỳ ít nhất là kể từ năm 2013.
Dựa trên những dữ liệu quan sát được từ tháng 6 năm 2020 đến tháng 1 năm nay, cuộc tấn công này sử dụng một phương pháp được gọi là kỹ thuật DLL side-loading để thực thi shellcode giải mã tải trọng cuối cùng có tên "FoundCore", theo các nhà nghiên cứu từ công ty an ninh mạng Kaspersky.
DLL side-loading là kỹ thuật tấn công trong đó một file DLL giả mạo có thể được nạp vào bộ nhớ của ứng dụng dẫn đến thực thi mã ngoài ý muốn. DLL side-loading được sử dụng như một chiến thuật làm xáo trộn để vượt qua các biện pháp phòng thủ chống virus. Bằng cách tải các tệp DLL độc hại vào các tệp thực thi hợp pháp, ý tưởng là che giấu hoạt động độc hại của chúng trong một hệ thống hoặc quy trình phần mềm đáng tin cậy.
Hơn nữa, phần mềm độc hại đi kèm với một lớp bổ sung được thiết kế rõ ràng để bảo vệ mã khỏi phân tích bảo mật và gây khó khăn cho việc thiết kế ngược. Để đạt được điều này, tác nhân đe dọa đằng sau phần mềm độc hại được cho là đã xóa hầu hết tiêu đề của tải trọng, trong khi để lại phần còn lại với các giá trị không mạch lạc.
Kaspersky cho biết phương pháp này "báo hiệu một bước tiến lớn về mức độ tinh vi của những kẻ tấn công vào hệ thống mạng của khu vực này".
Bên cạnh việc cung cấp cho những kẻ tấn công toàn quyền kiểm soát thiết bị bị xâm nhập, FoundCore còn đi kèm với khả năng chạy lệnh để thao tác hệ thống tệp, thao tác quy trình, chụp ảnh màn hình và thực hiện lệnh tùy ý. Sự lây nhiễm liên quan đến FoundCore cũng được dùng để tải xuống thêm hai phần mềm độc hại. Đầu tiên, DropPhone, thu thập thông tin liên quan đến môi trường từ máy nạn nhân và trích xuất nó sang DropBox, trong khi máy thứ hai, CoreLoader, chạy mã cho phép phần mềm độc hại cản trở sự phát hiện của các sản phẩm bảo mật.
Công ty an ninh mạng này giả thuyết rằng các cuộc tấn công bắt nguồn từ một chiến dịch lừa đảo trực tuyến hoặc các cuộc lây nhiễm khác, kích hoạt việc tải xuống các tài liệu RTF giả mạo từ một trang web mạo danh, cuối cùng dẫn đến việc triển khai FoundCore.
Trong số hàng chục tổ chức bị ảnh hưởng, 80% trong số đó có trụ sở tại Việt Nam và thuộc về chính phủ hoặc quân đội, hoặc có liên quan đến y tế, ngoại giao, giáo dục hoặc các ngành dọc chính trị. Ngoài ra còn có các nạn nhân khác ở Trung Á và Thái Lan.
"Điều này báo hiệu rằng những nhóm hacker đó có thể đang tìm cách mở rộng hoạt động của mình. Ngay bây giờ, có vẻ như chiến dịch này là một mối đe dọa cục bộ, nhưng rất có thể cửa hậu FoundCore sẽ được tìm thấy ở nhiều quốc gia khác trên thế giới”, ông Mark Lechtik, nhà nghiên cứu bảo mật cấp cao của Kaspersky kết luận.
Đây không phải là lần đầu tiên các công ty an ninh mạng cảnh báo về sự tấn công của các hacker bị nghi ngờ là do chính phủ Trung Quốc hậu thuẫn và cũng dùng kỹ thuật DLL side-loading. Nhưng đa số các trường hợp, các cáo buộc là có cơ sở khi nhà nước Trung Quốc hoàn toàn có lợi ích trong các vụ tấn công mạng nhắm vào các công ty trên thế giới.
Tháng 11 năm ngoái, hãng bảo mật Symantec đã phát hiện một nhóm hacker gián điệp hoạt động ít nhất từ năm 2009 và hầu như chỉ nhắm mục tiêu vào các công ty có liên kết với Nhật Bản. Mặc dù các công ty bị nhắm đến trong chiến dịch gần đây chủ yếu đặt trụ sở tại Mỹ và các quốc gia khác, tuy nhiên tất cả các công ty này đều có liên kết với Nhật Bản hoặc các công ty Nhật Bản.
Symantec cho biết các cuộc tấn công của nhóm này dựa trên dấu vân tay kỹ thuật số được tìm thấy trong mã độc và mã tấn công. Dấu vân tay bao gồm các kỹ thuật xáo trộn và shell code liên quan đến phương thức DLL side-loading.
Các nhà nghiên cứu Symantec viết: "Quy mô của các vụ tấn công cũng chỉ ra quy mô của nhóm này và khả năng của Cicada. Việc nhắm mục tiêu vào nhiều tổ chức lớn ở các khu vực địa lý khác nhau cùng một lúc sẽ đòi hỏi rất nhiều nguồn lực và kỹ năng mà thường chỉ thấy ở các nhóm được chính phủ hậu thuẫn".
Ngọc Minh
Theo The Hacker News
