Duy Linh
Writer
Các tác nhân đe dọa có liên hệ với Trung Quốc đang nhắm vào mạng lưới quân sự Đông Nam Á trong một chiến dịch gián điệp mạng kéo dài, với mục tiêu thu thập thông tin tình báo và giám sát hoạt động.
Chiến dịch mang mã CL-STA-1087 cho thấy cách tiếp cận có tổ chức cao, kết hợp phần mềm độc hại tùy chỉnh, kỹ thuật ẩn mình và khả năng duy trì truy cập lâu dài. Thay vì đánh cắp dữ liệu quy mô lớn, kẻ tấn công tập trung vào các thông tin có giá trị cao như cấu trúc chỉ huy, hệ thống C4I và các hoạt động quân sự phối hợp.
Hoạt động xâm nhập ban đầu bị phát hiện thông qua các lệnh PowerShell bất thường do hệ thống bảo mật điểm cuối cảnh báo. Theo Unit 42 của Palo Alto Networks, chiến dịch đã hoạt động từ năm 2020, chủ yếu nhắm vào các tổ chức quân sự tại Đông Nam Á. Điều tra cho thấy tin tặc đã duy trì quyền truy cập lâu dài vào một hệ thống không được quản lý.
Chúng sử dụng các kịch bản thực thi trì hoãn để tạo kết nối shell đảo ngược tới nhiều máy chủ điều khiển (C2), thường đặt thời gian “ngủ” 6 giờ nhằm tránh bị phát hiện. Sau thời gian dài im lặng, nhóm tấn công kích hoạt lại truy cập và tiến hành di chuyển ngang trong hệ thống.
Bằng cách sử dụng Windows Management Instrumentation (WMI) và các công cụ .NET gốc, chúng lan sang bộ điều khiển miền, máy chủ và các máy trạm quản trị. Việc duy trì hiện diện được thực hiện thông qua tạo dịch vụ hệ thống và chiếm quyền điều khiển DLL, bao gồm cài thư viện độc hại vào thư mục system32.
AppleChris có nhiều biến thể và sử dụng kỹ thuật Dead Drop Resolver (DDR) để lấy hạ tầng C2 từ các dịch vụ như Pastebin và Dropbox. Dữ liệu được mã hóa Base64 và giải mã bằng khóa RSA nhúng, giúp tránh các chỉ báo tĩnh. Backdoor này cho phép quản lý tập tin, liệt kê tiến trình và thực thi lệnh từ xa qua giao thức HTTP tùy chỉnh.
MemFun hoạt động hoàn toàn trong bộ nhớ với chuỗi lây nhiễm nhiều giai đoạn. Nó bắt đầu bằng một trình tải ngụy trang thành tiến trình hợp pháp, sau đó tải payload cuối cùng trực tiếp trong bộ nhớ.
Phần mềm này sử dụng các kỹ thuật né tránh như timestomping, process hollowing vào dllhost.exe và reflective DLL injection. Kênh liên lạc được mã hóa bằng khóa Blowfish tạo động, khiến mỗi phiên trở nên khó bị phát hiện.
Nhóm tấn công duy trì kỷ luật cao khi giữ quyền truy cập dài hạn, thường tạm dừng hoạt động trong thời gian dài trước khi tiếp tục theo mục tiêu tình báo cụ thể.
Dù chưa xác định chính thức nhóm đứng sau, nhiều dấu hiệu cho thấy liên quan đến Trung Quốc, bao gồm hoạt động theo múi giờ UTC+8, sử dụng hạ tầng đặt tại Trung Quốc và dấu vết tiếng Trung giản thể.
Các chuyên gia đánh giá đây là chiến dịch gián điệp mạng tinh vi, tập trung vào duy trì truy cập lâu dài, sử dụng công cụ tùy chỉnh, mã hóa liên lạc và thực thi trong bộ nhớ nhằm tránh bị phát hiện trong các mạng quân sự nhạy cảm.
Chiến dịch mang mã CL-STA-1087 cho thấy cách tiếp cận có tổ chức cao, kết hợp phần mềm độc hại tùy chỉnh, kỹ thuật ẩn mình và khả năng duy trì truy cập lâu dài. Thay vì đánh cắp dữ liệu quy mô lớn, kẻ tấn công tập trung vào các thông tin có giá trị cao như cấu trúc chỉ huy, hệ thống C4I và các hoạt động quân sự phối hợp.
Hoạt động xâm nhập ban đầu bị phát hiện thông qua các lệnh PowerShell bất thường do hệ thống bảo mật điểm cuối cảnh báo. Theo Unit 42 của Palo Alto Networks, chiến dịch đã hoạt động từ năm 2020, chủ yếu nhắm vào các tổ chức quân sự tại Đông Nam Á. Điều tra cho thấy tin tặc đã duy trì quyền truy cập lâu dài vào một hệ thống không được quản lý.
Chúng sử dụng các kịch bản thực thi trì hoãn để tạo kết nối shell đảo ngược tới nhiều máy chủ điều khiển (C2), thường đặt thời gian “ngủ” 6 giờ nhằm tránh bị phát hiện. Sau thời gian dài im lặng, nhóm tấn công kích hoạt lại truy cập và tiến hành di chuyển ngang trong hệ thống.
Bằng cách sử dụng Windows Management Instrumentation (WMI) và các công cụ .NET gốc, chúng lan sang bộ điều khiển miền, máy chủ và các máy trạm quản trị. Việc duy trì hiện diện được thực hiện thông qua tạo dịch vụ hệ thống và chiếm quyền điều khiển DLL, bao gồm cài thư viện độc hại vào thư mục system32.
Phần mềm độc hại tùy chỉnh và kỹ thuật ẩn mình
Chiến dịch dựa vào các backdoor tùy chỉnh, nổi bật là AppleChris và MemFun.AppleChris có nhiều biến thể và sử dụng kỹ thuật Dead Drop Resolver (DDR) để lấy hạ tầng C2 từ các dịch vụ như Pastebin và Dropbox. Dữ liệu được mã hóa Base64 và giải mã bằng khóa RSA nhúng, giúp tránh các chỉ báo tĩnh. Backdoor này cho phép quản lý tập tin, liệt kê tiến trình và thực thi lệnh từ xa qua giao thức HTTP tùy chỉnh.
MemFun hoạt động hoàn toàn trong bộ nhớ với chuỗi lây nhiễm nhiều giai đoạn. Nó bắt đầu bằng một trình tải ngụy trang thành tiến trình hợp pháp, sau đó tải payload cuối cùng trực tiếp trong bộ nhớ.
Phần mềm này sử dụng các kỹ thuật né tránh như timestomping, process hollowing vào dllhost.exe và reflective DLL injection. Kênh liên lạc được mã hóa bằng khóa Blowfish tạo động, khiến mỗi phiên trở nên khó bị phát hiện.
Duy trì truy cập và dấu hiệu liên quan Trung Quốc
Để leo thang đặc quyền, tin tặc sử dụng Getpass, biến thể của Mimikatz nhằm trích xuất thông tin đăng nhập và hash NTLM từ tiến trình lsass.exe. Công cụ này hoạt động tự động và lưu dữ liệu trong file WinSAT.db, giả dạng cơ sở dữ liệu hợp pháp của Windows để tránh bị nghi ngờ.Nhóm tấn công duy trì kỷ luật cao khi giữ quyền truy cập dài hạn, thường tạm dừng hoạt động trong thời gian dài trước khi tiếp tục theo mục tiêu tình báo cụ thể.
Dù chưa xác định chính thức nhóm đứng sau, nhiều dấu hiệu cho thấy liên quan đến Trung Quốc, bao gồm hoạt động theo múi giờ UTC+8, sử dụng hạ tầng đặt tại Trung Quốc và dấu vết tiếng Trung giản thể.
Các chuyên gia đánh giá đây là chiến dịch gián điệp mạng tinh vi, tập trung vào duy trì truy cập lâu dài, sử dụng công cụ tùy chỉnh, mã hóa liên lạc và thực thi trong bộ nhớ nhằm tránh bị phát hiện trong các mạng quân sự nhạy cảm.
Đọc chi tiết tại đây: gbhackers
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
