Chiến dịch gián điệp nhắm mục tiêu vào tổ chức cơ sở hạ tầng trọng yếu của Đông Nam Á

Tin tặc đã tận dụng triệt để kỹ thuật living-off-the-land trong chiến dịch gián điệp xuyên suốt vài tháng.

Bốn tổ chức cơ sở hạ tầng quan trọng ở một quốc gia Đông Nam Á đã bị nhắm mục tiêu trong một chiến dịch thu thập thông tin tình báo kéo dài trong vài tháng.

Trong số các tổ chức bị nhắm tới có một công ty về cung cấp nước, một công ty điện lực, một công ty truyền thông và một tổ chức quốc phòng.  Bằng chứng cho thấy tin tặc đang muốn nhắm đến thông tin dữ liệu từ hệ thống SCADA (Supervisory Control and Data Acquisition – tạm dịch: hệ thống điều khiển giám sát và thu thập dữ liệu).

Trước cuộc tấn công bằng mã độc tống tiền vào một công ty năng lượng của Mỹ Colonial Pipeline xảy ra vài tháng, thu hút sự quan tâm của thế giới về mối nguy hiểm do các cuộc tấn công của tin tặc vào cơ sở hạ tầng quan trọng, có thể các cuộc tấn công trên đã diễn ra (ít nhất từ ​​tháng 11 năm 2020 đến tháng 3 năm 2021 hoặc có thể đã bắt đầu từ sớm hơn).

Khi tin tặc có được quyền truy cập vào nhiều tổ chức cơ sở hạ tầng quan trọng trong cùng một quốc gia, rất có thể tin tặc cũng đã để lại những phần mềm độc hại nhằm truy cập vào một lượng lớn thông tin nhạy cảm.

Có nhiều dấu hiệu cho thấy tin tặc đứng sau tất cả các cuộc tấn công này là cùng một đối tượng, bao gồm:

• Các liên kết về khu vực và địa lý của mục tiêu bị tấn công.
• Sự hiện diện của một số công cụ nhất định trên các hệ thống máy của các đối tượng bị tấn công, bao gồm trình tải xuống (được tìm thấy ở hai trong số các tổ chức bị tấn công) và keylogger (được tìm thấy ở ba trong số các tổ chức bị tấn công).
• Cùng địa chỉ IP cũng được tìm thấy trong hai trong số các tổ chức bị tấn công.

Có một số dấu hiệu cho thấy tin tặc đằng sau chiến dịch này xuất phát từ Trung Quốc, nhưng với thông tin hiện có, Symantec chưa thể quy chụp hành động trên cho một tác nhân nào cụ thể.

Đánh cắp thông tin xác thực và mở rộng địa bàn khai thác trên hệ thống mạng của “nạn nhân” dường như là mục tiêu chính của tin tặc, kẻ đã tận dụng triệt để kỹ thuật living-off-the-land (là kỹ thuật sử dụng phần mềm và chức năng hợp pháp có sẵn trong hệ thống để thực hiện các hành thâm nhập) trong chiến dịch gián điệp này. Trong số các công cụ/ kỹ thuật living-off-the-land hoặc lưỡng dụng được sử dụng có:

• Windows Management Instrumentation (WMI)
• ProcDump
• PsExec
• PAExec
• Mimikatz

Tin tặc cũng được được cho là đang khai thác một trình phát đa phương tiện hợp pháp để tải lên một file DLL hijacking (chiếm quyền điều khiển hijacking – cho phép kẻ tấn công khiến một phần mềm khi đang thực thi sẽ gọi đến một DLL tùy ý của tin tặc), cũng như khai thác các công cụ hợp pháp khác để tải các tệp đáng ngờ lên máy của nạn nhân.

Chúng tôi không biết vectơ lây nhiễm ban đầu mà tin tặc sử dụng để truy cập vào các mục tiêu bị nhắm đến là gì, nhưng chúng tôi đã có được cái nhìn chi tiết về cách các véc tơ này di chuyển trên các hệ thống mạng bị xâm nhập.

Công ty về cung cấp nước

Hoạt động đầu tiên chúng tôi thấy đáng ngờ trong cuộc tấn công vào tổ chức này chính là việc sử dụng WMI (Windows Management Instrumentation – Công cụ quản lý Windows). Sau đó, chúng tôi thấy một trình phát đa phương tiện miễn phí hợp pháp có tên là PotPlayer Mini bị khai thác để tải lên một tệp DLL độc hại. Trước đây đã có tài liệu công khai rằng trình phát này dễ bị chiếm đoạt thứ tự tìm kiếm DLL, đây không phải là một kỹ thuật mới, nhưng là kỹ thuật mà chúng ta thường thấy bị những kẻ tấn công lợi dụng để chèn các tệp độc hại vào máy nạn nhân. Chúng tôi đã thấy PotPlayer Mini được thêm vào như một dịch vụ để khởi chạy tệp có tên potplayermini.exe, sau đó chúng tôi thấy nhiều công cụ hack và sử dụng kép được khởi chạy, bao gồm:

• ProcDump
• PsExec
• Mimikatz

ProcDump đã được sử dụng để đánh cắp thông tin xác thực bằng cách lạm dụng quy trình LSASS.exe và chia sẻ miền được liệt kê bằng cách sử dụng lệnh net.view. Sau đó, chúng tôi quan sát thấy một giao thức tunneling đáng ngờ đang được khởi chạy trên hệ thống.

Chúng tôi không quan sát thấy những dữ liệu từ các máy bị nhiễm bị tin tặc đánh cắp. Tuy nhiên, hệ thống máy mà tin tặc đang xâm nhập có sử dụng các công cụ cho thấy hệ thống máy có thể đang chạy trên thiết kế hệ thống SCADA, có thể thấy đây là điều mà kẻ tấn công có thể quan tâm.

Công ty Điện lực

PotPlayer Mini cũng được khai thác trên mạng của công ty điện lực để thực hiện việc tải lên file DLL hijacking, và ProcDump đã được triển khai cùng với một payload khác mà chúng tôi nghi ngờ là phần mềm độc hại. Chúng tôi cũng quan sát thấy tin tặc một lần nữa thực hiện hành vi trộm cắp thông tin xác thực bằng cách sử dụng ProcDump của quy trình LSASS.exe.

Có dấu hiệu cho thấy máy bị nhiễm virus trong công ty này cũng có thể đã tham gia vào quy trình thiết kế kỹ thuật (engineering design process).

Sự chồng chéo tập tin, cũng như các chiến thuật tương tự được sử dụng, chỉ ra cùng một chiến lược tấn công đứng sau các cuộc xâm nhập vào công ty cung cấp nước và cung ty điện lực.

Công ty truyền thông

Trong khi đó, trong cuộc tấn công vào công ty truyền thông, kẻ tấn công đã khai thác một công cụ hợp pháp khác, Google Chrome Frame, với các tệp đáng ngờ xuất hiện, trong đó chrome_frame_helper.exe là tệp mẹ.

Google Chrome Frame là một plugin hợp pháp dành cho Internet Explorer cho phép hiển thị toàn bộ khung trình duyệt bằng công cụ kết xuất của Google Chrome.

Không rõ liệu Google Chrome Frame đã có mặt trên máy bị nhiễm mã độc của công ty này từ trước hay do tin tặc cài vào, vì đây là tệp mẹ của các tệp hợp pháp cũng như các tệp đáng ngờ. PotPlayer Mini cũng có vẻ đã bị tin tặc khai thác trên máy này với mục đích xấu.

PAExec, một công cụ tương tự như PsExec, đã khởi chạy at.exe (công cụ lập lịch tác vụ của Windows), để lập lịch thực thi chrome_frame_helper.exe như một tác vụ. WMI đã được sử dụng để chạy chrome_frame_helper.exe và thực hiện hành vi trộm cắp thông tin xác thực bằng cách kết xuất LSASS. PAExec và WMIC cũng được sử dụng để mở rộng địa bàn khai thác và khởi chạy chrome_frame_helper.exe đối với địa chỉ IP nội bộ. PAExec cũng khởi chạy nó để lên lịch thực thi một batch file không xác định như một công việc hàng ngày và chrome_frame_helper.exe cũng được sử dụng để khởi chạy công cụ liệt kê tin cậy miền SharpHound và các tệp đáng ngờ khác. PAExec cũng được cho là đã loại bỏ một ứng dụng mã nguồn mở có điểm tương đồng với hoặc chính là Mimikatz vì nghi ngờ mã nguồn này ăn cắp thông tin xác thực.

WMI cũng được sử dụng để chạy chrome_frame_helper.exe để thực thi lệnh net.exe để kết nối chia sẻ một C$ ẩn. C$ chia sẻ lại các chia sẻ bị ẩn của quản trị viên khi xem các chia sẻ này từ máy tính khác, nhưng đối với những người được quản trị viên cấp đặc quyền thì có thể xem được các chia sẻ này. Các loại chia sẻ này thường được các tác nhân độc hại sử dụng để lén lút chuyển phần mềm độc hại qua mạng và thu thập dữ liệu bị đánh cắp. Tuy nhiên, không rõ C$ share đã được sử dụng để làm gì trên mạng này.

Sự nhất quán được tạo cho chrome_frame_helper.exe dưới dạng tác vụ đã lên lịch – GoogleUpdateTaskMachineCore4f23 – với tệp được ngụy trang thành chrome_proxy1.exe.

Một keylogger và một số tệp khác được tìm thấy trên mạng của tổ chức này cũng được nhìn thấy trên mạng của công ty cấp nước.

Tổ chức quốc phòng

Trong tổ chức quốc phòng, chúng tôi một lần nữa thấy PotPlayer Mini bị khai thác để tải lên DLL hijacking, cũng như thấy một số sự trùng lặp tệp giữa tổ chức này với các công ty truyền thông và cung cấp nước.

Kết luận

Mặc dù chúng ta không thể nói rõ ràng mục tiêu cuối cùng của tin tặc trong các cuộc tấn công này là gì, nhưng mục tiêu gián điệp có vẻ như là động cơ khả dĩ nhất. Bởi hoạt động mà chúng tôi đã thấy qua các cuộc phân tích – ăn cắp thông tin xác thực, mở rộng địa bàn khai thác, triển khai keylogger – và các loại máy được nhắm đến trong các tổ chức bị tấn công đều là các loại máy liên quan đến thiết kế và kỹ thuật.

Khả năng giúp tin tặc có thể duy trì sự hiện diện lén lút của mình trên các mạng được nhắm đến trong cả mấy tháng trời chính là kỹ năng. Một số công cụ nhất định được tìm thấy trên máy của “nạn nhân” cho thấy kẻ tấn công có thể có trụ sở tại Trung Quốc, mặc dù vậy với thông tin mà chúng tôi hiện có, việc xác định rõ ràng các cuộc tấn công này là do một tác nhân cụ thể nào đó là không thể.

Một đối tượng độc hại lành nghề từ một quốc gia khác có thể có được hiểu biết sâu sắc về cơ sở hạ tầng quan trọng của một quốc gia khác bằng cách thỏa hiệp với nhiều tổ chức cơ sở hạ tầng quan trọng, bao gồm cả tổ chức quốc phòng và gom được vô số thông tin tình báo có giá trị vào tay kẻ thù. Cuộc tấn công vào hệ thống nhiên liệu Colonial Pipeline ở Hoa Kỳ vào tháng 5 năm 2021 cho thấy những cuộc tấn công như thế có thể gây hậu quả rất nghiêm trọng đối với cơ sở hạ tầng trọng yếu. Qua cuộc tấn công đó có thể thấy bất kì cơ sở hạ tầng trọng yếu nào cũng có thể trở thành “con mồi” của các đối tượng độc hại.

Các chỉ số thỏa hiệp (IoCs)

Biên soạn bởi Phương Nguyễn – Iworld.com.vn