Các ngành viễn thông và sản xuất tại các quốc gia Trung và Nam Á đã trở thành mục tiêu của một chiến dịch đang diễn ra, phân phối một biến thể mới của mã độc đã biết có tên PlugX (còn gọi là Korplug hoặc SOGU).
"Các tính năng của biến thể mới này trùng lặp với cả backdoor RainyDay và Turian, bao gồm việc lạm dụng các ứng dụng hợp pháp để DLL side-loading, thuật toán XOR-RC4-RtlDecompressBuffer được sử dụng để mã hóa/giải mã payload và các RC4 key được sử dụng," các nhà nghiên cứu Joey Chen và Takahiro Takeda của Cisco Talos cho biết trong một phân tích được công bố tuần này.
Công ty an ninh mạng lưu ý rằng cấu hình liên quan đến biến thể PlugX này khác biệt đáng kể so với định dạng cấu hình PlugX thông thường, thay vào đó áp dụng cấu trúc tương tự được sử dụng trong RainyDay, một backdoor liên quan đến nhóm tấn công có liên kết với Trung Quốc được gọi là Lotus Panda (còn gọi là Naikon APT). Nó cũng có khả năng được Kaspersky theo dõi dưới tên FoundCore và được gán cho một nhóm đe dọa nói tiếng Trung Quốc mà họ gọi là Cycldek.
PlugX là một mã độc truy cập từ xa (RAT) dạng mô-đun được nhiều nhóm tấn công liên kết với Trung Quốc sử dụng rộng rãi, nhưng nổi bật nhất là Mustang Panda (còn gọi là BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, RedDelta, Red Lich, Stately Taurus, TEMP.Hex và Twill Typhoon).
Mặt khác, Turian (còn gọi là Quarian hoặc Whitebird) được đánh giá là một backdoor được sử dụng độc quyền trong các cuộc tấn công mạng nhắm vào Trung Đông bởi một nhóm tấn công dai dẳng nâng cao (APT) khác có liên hệ với Trung Quốc, được gọi là BackdoorDiplomacy (còn gọi là CloudComputating hoặc Faking Dragon).
Các mô hình nạn nhân – đặc biệt là việc tập trung vào các công ty viễn thông – và việc triển khai mã độc về mặt kỹ thuật đã đưa ra bằng chứng cho thấy mối liên hệ có thể xảy ra giữa Lotus Panda và BackdoorDiplomacy, làm tăng khả năng hai nhóm này là một hoặc chúng đang lấy công cụ từ một nhà cung cấp chung.
Trong một sự cố được công ty phát hiện, Naikon được cho là đã nhắm mục tiêu vào một công ty viễn thông ở Kazakhstan, một quốc gia có chung biên giới với Uzbekistan, nơi trước đây đã bị BackdoorDiplomacy nhắm tới. Hơn nữa, cả hai nhóm tấn công đều được phát hiện tập trung vào các quốc gia Nam Á.
Chuỗi tấn công về cơ bản liên quan đến việc lạm dụng một tệp thực thi hợp pháp liên kết với Mobile Popup Application để sideload một DLL độc hại, sau đó được sử dụng để giải mã và khởi chạy các payload PlugX, RainyDay và Turian trong bộ nhớ. Các làn sóng tấn công gần đây do tác nhân đe dọa này thực hiện đã tập trung mạnh vào PlugX, vốn sử dụng cấu trúc cấu hình tương tự như RainyDay và bao gồm một plugin keylogger được nhúng.
"Mặc dù chúng tôi không thể kết luận rằng có mối liên hệ rõ ràng giữa Naikon và BackdoorDiplomacy, nhưng có những khía cạnh trùng lặp đáng kể – chẳng hạn như việc lựa chọn mục tiêu, các phương pháp mã hóa/giải mã payload, tái sử dụng khóa mã hóa và sử dụng các công cụ được cùng một nhà cung cấp hỗ trợ," Talos cho biết. "Những điểm tương đồng này cho thấy mối liên hệ với một tác nhân nói tiếng Trung Quốc trong chiến dịch này với độ tin cậy trung bình."
Chi tiết về Mã độc Bookworm của Mustang Panda
Tiết lộ này được đưa ra khi Palo Alto Networks Unit 42 làm sáng tỏ hoạt động bên trong của mã độc Bookworm được tác nhân Mustang Panda sử dụng từ năm 2015 để giành quyền kiểm soát sâu rộng các hệ thống bị xâm nhập. RAT tiên tiến này được trang bị các khả năng để execute arbitrary commands, upload/download files, exfiltrate data và establish persistent access.
Đầu tháng 3 này, nhà cung cấp an ninh mạng cho biết họ đã xác định các cuộc tấn công nhắm vào các quốc gia thuộc Hiệp hội các quốc gia Đông Nam Á (ASEAN) để phân phối mã độc này.
Bookworm sử dụng các domain trông có vẻ hợp pháp hoặc hạ tầng bị xâm nhập cho mục đích C2 để hòa mình vào lưu lượng mạng thông thường. Các biến thể chọn lọc của mã độc cũng được tìm thấy có sự trùng lặp với TONESHELL, một backdoor đã biết liên quan đến Mustang Panda từ cuối năm 2022.
Giống như PlugX và TONESHELL, chuỗi tấn công phân phối Bookworm dựa vào DLL side-loading để thực thi payload, mặc dù các biến thể mới hơn đã áp dụng một kỹ thuật liên quan đến việc đóng gói shellcode dưới dạng chuỗi universally unique identifier (UUID), sau đó được giải mã và thực thi.
"Bookworm được biết đến với kiến trúc mô-đun độc đáo, cho phép chức năng cốt lõi của nó được mở rộng bằng cách tải thêm các mô-đun trực tiếp từ máy chủ command-and-control (C2) của nó," nhà nghiên cứu Kyle Wilhoit của Unit 42 cho biết. "Tính mô-đun này khiến việc phân tích tĩnh trở nên khó khăn hơn, vì Leader module dựa vào các DLL khác để cung cấp chức năng cụ thể."
"Việc triển khai và thích nghi của Bookworm này, chạy song song với các hoạt động khác của Stately Taurus, cho thấy vai trò lâu dài của nó trong kho công cụ của tác nhân. Nó cũng cho thấy một cam kết bền vững, lâu dài trong việc phát triển và sử dụng nó bởi nhóm."
