Các nhà nghiên cứu an ninh mạng đã tiết lộ thông tin chi tiết về một nhóm tấn công dai dẳng nâng cao (APT) có tên Silver Dragon, nhóm này đã được liên kết với các cuộc tấn công mạng nhắm vào các tổ chức ở Châu Âu và Đông Nam Á kể từ ít nhất giữa năm 2024.
"Silver Dragon giành quyền truy cập ban đầu bằng cách khai thác các máy chủ internet công khai và gửi email phishing chứa các tệp đính kèm độc hại," Check Point cho biết trong một báo cáo kỹ thuật. "Để duy trì persistence, nhóm này chiếm đoạt các dịch vụ Windows hợp pháp, cho phép các quy trình mã độc hòa lẫn vào hoạt động hệ thống bình thường."
Silver Dragon được đánh giá là hoạt động dưới ô dù của APT41. APT41 là tên mã được gán cho một nhóm hacker Trung Quốc khét tiếng, được biết đến với việc nhắm mục tiêu vào các lĩnh vực y tế, viễn thông, công nghệ cao, giáo dục, dịch vụ du lịch và truyền thông để thực hiện gián điệp mạng ngay từ năm 2012. Nhóm này cũng được cho là tham gia vào các hoạt động có động cơ tài chính, có thể nằm ngoài sự kiểm soát của nhà nước.
Các cuộc tấn công do Silver Dragon thực hiện chủ yếu nhắm vào các tổ chức chính phủ, với việc kẻ tấn công sử dụng Cobalt Strike beacons để duy trì persistence trên các máy chủ bị xâm nhập. Nhóm này cũng được biết đến với việc sử dụng các kỹ thuật như DNS tunneling để liên lạc C2 nhằm vượt qua các cơ chế phát hiện.
Các Chuỗi Lây Nhiễm Cobalt Strike
Check Point cho biết họ đã xác định ba chuỗi lây nhiễm khác nhau để phân phối Cobalt Strike: AppDomain hijacking, service DLL và email phishing.
"Hai chuỗi lây nhiễm đầu tiên, AppDomain hijacking và Service DLL, cho thấy sự trùng lặp rõ ràng trong hoạt động," công ty an ninh mạng cho biết. "Cả hai đều được phân phối thông qua các tệp lưu trữ nén, cho thấy việc sử dụng chúng trong các kịch bản post-exploitation. Trong một số trường hợp, các chuỗi này được triển khai sau khi các máy chủ dễ bị tổn thương công khai bị xâm nhập."
Hai chuỗi này sử dụng một tệp lưu trữ RAR chứa một batch script, với chuỗi đầu tiên sử dụng nó để thả MonikerLoader, một loader dựa trên .NET chịu trách nhiệm giải mã và thực thi một second-stage trực tiếp trong bộ nhớ. Stage thứ hai, về phần mình, bắt chước hành vi của MonikerLoader, hoạt động như một cầu nối để tải payload Cobalt Strike beacon cuối cùng.
Mặt khác, chuỗi service DLL sử dụng một batch script để phân phối một shellcode DLL loader có tên BamboLoader, được đăng ký dưới dạng một dịch vụ Windows. Đây là một mã độc C++ bị obfuscated nặng, được sử dụng để giải mã và giải nén shellcode được dàn dựng trên đĩa, sau đó inject nó vào một tiến trình Windows hợp pháp, chẳng hạn như "taskhost.exe". Binary được nhắm mục tiêu để inject có thể cấu hình được trong BamboLoader.
Chuỗi lây nhiễm thứ ba liên quan đến một chiến dịch phishing chủ yếu nhắm vào Uzbekistan với các shortcut Windows độc hại (LNK) dưới dạng tệp đính kèm. Tệp LNK bị vũ khí hóa được thiết kế để khởi chạy PowerShell code thông qua "cmd.exe", dẫn đến việc trích xuất và thực thi các payload giai đoạn tiếp theo. Chuỗi này bao gồm bốn tệp khác nhau:
- Decoy document (tài liệu mồi nhử)
- Executable hợp pháp dễ bị DLL side-loading ("GameHook.exe")
- DLL độc hại hay còn gọi là BamboLoader ("graphics-hook-filter64.dll")
- Payload Cobalt Strike được mã hóa ("simhei.dat")
Trong chiến dịch này, decoy document được hiển thị cho nạn nhân, trong khi đó, ở chế độ nền, rogue DLL được sideload thông qua "GameHook.exe" để cuối cùng khởi chạy Cobalt Strike. Các cuộc tấn công cũng được đặc trưng bởi việc triển khai các công cụ post-exploitation khác nhau:
Các Công Cụ Post-Exploitation
- SilverScreen, một công cụ giám sát màn hình dựa trên .NET được sử dụng để chụp ảnh màn hình định kỳ về hoạt động của người dùng, bao gồm cả vị trí con trỏ chính xác.
- SSHcmd, một tiện ích SSH command-line dựa trên .NET cung cấp khả năng thực thi lệnh từ xa và truyền tệp qua SSH.
- GearDoor, một backdoor .NET có nhiều điểm tương đồng với MonikerLoader và giao tiếp với cơ sở hạ tầng C2 của nó thông qua Google Drive.
Sau khi được thực thi, backdoor xác thực với tài khoản Google Drive do kẻ tấn công kiểm soát và tải lên một tệp heartbeat chứa thông tin hệ thống cơ bản. Điều thú vị là backdoor này sử dụng các phần mở rộng tệp khác nhau để chỉ ra bản chất của tác vụ sẽ được thực hiện trên máy chủ bị nhiễm. Kết quả thực thi tác vụ được ghi lại và tải lên Drive.
- *.png: để gửi các tệp heartbeat.
- *.pdf: để nhận và thực thi lệnh, liệt kê nội dung của một thư mục, tạo một thư mục mới và xóa tất cả các tệp trong một thư mục cụ thể. Kết quả của hoạt động được gửi đến máy chủ dưới dạng tệp *.db.
- *.cab: để nhận và thực thi lệnh thu thập thông tin host và danh sách các tiến trình đang chạy, liệt kê các tệp và thư mục, chạy lệnh qua "cmd.exe" hoặc các scheduled tasks, tải tệp lên Google Drive và chấm dứt implant. Trạng thái thực thi được tải lên dưới dạng tệp .bak.
- *.rar: để nhận và thực thi các payload. Nếu tệp RAR được đặt tên là "wiatrace.bak", backdoor sẽ coi đó là một gói tự cập nhật. Kết quả được tải lên dưới dạng các tệp .bak.
- *.7z: để nhận và thực thi các plugin trong bộ nhớ. Kết quả được tải lên dưới dạng các tệp .bak.
Mối Liên Hệ Với APT41
Sự liên kết của Silver Dragon với APT41 xuất phát từ sự trùng lặp về tradecraft với các script cài đặt post-exploitation trước đây đã được quy cho APT41 và thực tế là cơ chế giải mã được sử dụng bởi BamboLoader đã được quan sát thấy trong các shellcode loader có liên quan đến hoạt động APT của Trung Quốc.
"Nhóm này liên tục phát triển các công cụ và kỹ thuật của mình, tích cực thử nghiệm và triển khai các khả năng mới trong các chiến dịch khác nhau," Check Point cho biết. "Việc sử dụng đa dạng các vulnerability exploits, custom loaders, và giao tiếp C2 dựa trên tệp tinh vi phản ánh một nhóm APT được trang bị tốt và có khả năng thích ứng cao."
