Khai thác Web Server và Mimikatz được sử dụng trong các cuộc tấn công nhắm vào hạ tầng trọng yếu ở châu Á

Các tổ chức giá trị cao ở Nam, Đông Nam và Đông Á đã bị một nhóm tin tặc Trung Quốc nhắm mục tiêu trong một chiến dịch kéo dài nhiều năm. Hoạt động này, nhắm vào các lĩnh vực hàng không, năng lượng, chính phủ, thực thi pháp luật, dược phẩm, công nghệ và viễn thông, đã được Palo Alto Networks Unit 42 gán cho một nhóm hoạt động đe dọa chưa từng được ghi nhận trước đây có tên CL-UNK-1068.

Hình ảnh minh họa về một cuộc tấn công mạng nguy hiểm — Minh họa về một cuộc tấn công mạng nhắm vào các tổ chức trọng yếu.

Các tổ chức giá trị cao nằm ở Nam Á, Đông Nam Á và Đông Á đã bị một nhóm tin tặc Trung Quốc nhắm mục tiêu trong một chiến dịch kéo dài nhiều năm.

Hoạt động này, nhắm vào các lĩnh vực hàng không, năng lượng, chính phủ, thực thi pháp luật, dược phẩm, công nghệ và viễn thông, đã được Palo Alto Networks Unit 42 gán cho một nhóm hoạt động đe dọa chưa từng được ghi nhận trước đây có tên CL-UNK-1068, trong đó "CL" là viết tắt của "cluster" và "UNK" là viết tắt của "unknown motivation" (động cơ không xác định).

Tuy nhiên, nhà cung cấp bảo mật này đã đánh giá với "mức độ tin cậy từ trung bình đến cao" rằng mục tiêu chính của chiến dịch là cyber espionage (gián điệp mạng).

"Phân tích của chúng tôi cho thấy một bộ công cụ đa diện bao gồm custom malware, các tiện ích mã nguồn mở đã được sửa đổi và living-off-the-land binaries (LOLBINs)," nhà nghiên cứu bảo mật Tom Fakterman cho biết. "Những công cụ này cung cấp một cách đơn giản, hiệu quả để những kẻ tấn công duy trì sự hiện diện bền vững trong các môi trường mục tiêu."

Công cụ và Kỹ thuật tấn công

Các công cụ được thiết kế để nhắm mục tiêu vào cả môi trường Windows và Linux. Nhóm tin tặc này dựa vào sự kết hợp của các tiện ích mã nguồn mở và các họ malware như Godzilla, ANTSWORD, Xnote và Fast Reverse Proxy (FRP), tất cả đều đã được nhiều nhóm tin tặc Trung Quốc sử dụng.

Trong khi Godzilla và ANTSWORD hoạt động như các web shells, thì Xnote là một Linux backdoor đã được phát hiện trong thực tế từ năm 2015 và đã được một nhóm đối thủ được gọi là Earth Berberoka (hay còn gọi là GamblingPuppet) triển khai trong các cuộc tấn công nhắm vào các trang web đánh bạc trực tuyến.

Chi tiết chuỗi tấn công và đánh cắp dữ liệu

Các chuỗi tấn công điển hình bao gồm việc khai thác các web servers để phân phối web shells và di chuyển ngang (lateral movement) sang các máy chủ khác. Sau đó là các nỗ lực đánh cắp các tệp tin có phần mở rộng nhất định ("web.config," ".aspx," ".asmx," ".asax," và ".dll") từ thư mục "c:\inetpub\wwwroot" của một Windows web server có khả năng là để đánh cắp credentials hoặc phát hiện các lỗ hổng.

Các tệp tin khác được thu thập bởi CL-UNK-1068 bao gồm lịch sử và dấu trang (bookmarks) của trình duyệt web, các tệp XLSX và CSV từ máy tính để bàn và thư mục USER, cùng các tệp sao lưu cơ sở dữ liệu (.bak) từ các MS-SQL servers.

Một điểm đáng chú ý là các tác nhân đe dọa đã được quan sát sử dụng WinRAR để nén các tệp liên quan, mã hóa Base64 các kho lưu trữ bằng cách thực thi lệnh `certutil -encode`, sau đó chạy lệnh `type` để in nội dung Base64 ra màn hình thông qua web shell.

Sơ đồ minh họa các hoạt động độc hại trên hệ thống Linux — Minh họa quy trình hoạt động của nhóm tin tặc trên môi trường Linux.

"Bằng cách mã hóa các kho lưu trữ dưới dạng văn bản và in chúng ra màn hình, những kẻ tấn công có thể exfiltrate dữ liệu mà không thực sự tải lên bất kỳ tệp nào," Unit 42 cho biết. "Những kẻ tấn công có thể đã chọn phương pháp này vì shell trên máy chủ cho phép họ chạy lệnh và xem đầu ra, nhưng không thể trực tiếp chuyển tệp."

Một trong những kỹ thuật được sử dụng trong các cuộc tấn công này là việc sử dụng các tệp thực thi Python hợp pháp ("python.exe" và "pythonw.exe") để khởi động các cuộc tấn công DLL side-loading và thực thi các DLL độc hại một cách lén lút, bao gồm FRP để truy cập bền bỉ (persistent access), PrintSpoofer, và một scanner tùy chỉnh dựa trên Go có tên ScanPortPlus.

CL-UNK-1068 cũng được cho là đã tham gia vào các nỗ lực reconnaissance (trinh sát) bằng cách sử dụng một công cụ .NET tùy chỉnh có tên SuperDump từ năm 2020. Các cuộc xâm nhập gần đây đã chuyển sang một phương pháp mới sử dụng batch scripts để thu thập thông tin máy chủ và lập bản đồ môi trường cục bộ.

Các công cụ đánh cắp credentials

Kẻ tấn công còn sử dụng một loạt công cụ để hỗ trợ đánh cắp credentials:

Mimikatz, để trích xuất passwords từ bộ nhớ.
LsaRecorder, để hook LsaApLogonUserEx2 nhằm ghi lại password của WinLogon.
DumpItForLinux và Volatility Framework để trích xuất password hashes từ bộ nhớ.
SQL Server Management Studio Password Export Tool, để trích xuất nội dung của "sqlstudio.bin," tệp lưu trữ thông tin kết nối cho Microsoft SQL Server Management Studio (SSMS).

"Sử dụng chủ yếu các công cụ mã nguồn mở, malware được chia sẻ trong cộng đồng và batch scripts, nhóm này đã duy trì thành công các hoạt động lén lút trong khi xâm nhập các tổ chức trọng yếu," Unit 42 kết luận.

"Cụm hoạt động này thể hiện sự linh hoạt khi hoạt động trên cả môi trường Windows và Linux, sử dụng các phiên bản khác nhau của bộ công cụ cho từng hệ điều hành. Mặc dù trọng tâm là đánh cắp credentials và exfiltration dữ liệu nhạy cảm từ hạ tầng trọng yếu và các lĩnh vực chính phủ cho thấy mạnh mẽ động cơ gián điệp, chúng tôi chưa thể loại trừ hoàn toàn ý định tội phạm mạng."