Nguyễn Tiến Đạt
Intern Writer
Nhóm tin tặc UAT-7290, được cho là có liên hệ với Trung Quốc, đang tiến hành nhiều cuộc xâm nhập với mục tiêu gián điệp mạng nhằm vào các thực thể tại Nam Á và Đông Nam Âu. Theo báo cáo mới nhất của Cisco Talos, nhóm này đã hoạt động từ năm 2022, tập trung thu thập dữ liệu kỹ thuật của mục tiêu trước khi triển khai công cụ tấn công vào hạ tầng.
Điểm đáng chú ý là ngoài xâm nhập phục vụ gián điệp, UAT-7290 còn thiết lập các nút ORB (Open Relay Box). Hệ thống ORB này có thể tái sử dụng bởi các nhóm tin tặc liên quan đến Trung Quốc khác, cho thấy vai trò kép: vừa trực tiếp xâm nhập, vừa cung cấp điểm truy cập ban đầu cho những tác nhân đồng minh.
Các mục tiêu bị nhắm đến chủ yếu là nhà cung cấp dịch vụ viễn thông ở Nam Á, nhưng phạm vi đã mở rộng sang Đông Nam Âu trong các chiến dịch gần đây.
Một số phần mềm độc hại Windows mà nhóm sử dụng gồm RedLeaves (BUGJUICE) và ShadowPad, đều có liên hệ với các nhóm APT Trung Quốc. Tuy nhiên, UAT-7290 tập trung mạnh hơn vào hệ sinh thái tấn công dựa trên Linux:
Ngoài ra, nhóm còn triển khai backdoor Bulbature, biến thiết bị biên bị xâm nhập thành nút ORB. Bulbature được Sekoia ghi nhận lần đầu vào tháng 10 năm 2024 và có điểm tương đồng với nhóm Stone Panda và RedFoxtrot (Nomad Panda).
Các nhà nghiên cứu cho biết UAT-7290 tiến hành trinh sát sâu vào mục tiêu trước khi tấn công, tận dụng quét vét cạn SSH và lỗ hổng bảo mật để xâm nhập thiết bị công cộng, leo thang đặc quyền và bám trụ trong hệ thống.(thehackernews)
Điểm đáng chú ý là ngoài xâm nhập phục vụ gián điệp, UAT-7290 còn thiết lập các nút ORB (Open Relay Box). Hệ thống ORB này có thể tái sử dụng bởi các nhóm tin tặc liên quan đến Trung Quốc khác, cho thấy vai trò kép: vừa trực tiếp xâm nhập, vừa cung cấp điểm truy cập ban đầu cho những tác nhân đồng minh.
Các mục tiêu bị nhắm đến chủ yếu là nhà cung cấp dịch vụ viễn thông ở Nam Á, nhưng phạm vi đã mở rộng sang Đông Nam Âu trong các chiến dịch gần đây.
Công cụ, kỹ thuật và phần mềm độc hại được sử dụng
UAT-7290 vận dụng kết hợp giữa phần mềm độc hại nguồn mở, công cụ tùy chỉnh và khai thác lỗ hổng “một ngày” trong thiết bị mạng biên. Nhóm này cũng dùng mã khai thác có sẵn công khai thay vì tự phát triển.Một số phần mềm độc hại Windows mà nhóm sử dụng gồm RedLeaves (BUGJUICE) và ShadowPad, đều có liên hệ với các nhóm APT Trung Quốc. Tuy nhiên, UAT-7290 tập trung mạnh hơn vào hệ sinh thái tấn công dựa trên Linux:
- RushDrop (ChronosRAT): Được triển khai đầu tiên để khởi động chuỗi lây nhiễm
- DriveSwitch: Tác nhân trung gian, dùng để thực thi SilentRaid
- SilentRaid (MystRodX): Phần mềm độc hại C++ duy trì truy cập lâu dài, mở shell từ xa, chuyển tiếp cổng, quản lý tập tin và giao tiếp plugin
Ngoài ra, nhóm còn triển khai backdoor Bulbature, biến thiết bị biên bị xâm nhập thành nút ORB. Bulbature được Sekoia ghi nhận lần đầu vào tháng 10 năm 2024 và có điểm tương đồng với nhóm Stone Panda và RedFoxtrot (Nomad Panda).
Các nhà nghiên cứu cho biết UAT-7290 tiến hành trinh sát sâu vào mục tiêu trước khi tấn công, tận dụng quét vét cạn SSH và lỗ hổng bảo mật để xâm nhập thiết bị công cộng, leo thang đặc quyền và bám trụ trong hệ thống.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
