Các tổ chức chính phủ và viễn thông trên khắp Châu Phi, Trung Đông và Châu Á đã trở thành mục tiêu của một nhóm tác nhân quốc gia liên kết với Trung Quốc chưa từng được biết đến trước đây, có tên là Phantom Taurus, trong hơn hai năm rưỡi qua.
"Các lĩnh vực trọng tâm chính của Phantom Taurus bao gồm các bộ ngoại giao, đại sứ quán, các sự kiện địa chính trị và các hoạt động quân sự," Lior Rochberger, nhà nghiên cứu của Palo Alto Networks Unit 42, cho biết. "Mục tiêu chính của nhóm là hoạt động gián điệp. Các cuộc tấn công của chúng thể hiện sự tàng hình, kiên trì và khả năng nhanh chóng thích nghi các TTPs."
Cũng cần lưu ý rằng nhóm tin tặc này lần đầu tiên được công ty an ninh mạng này công bố chi tiết vào tháng 6 năm 2023 dưới tên gọi CL-STA-0043. Sau đó, vào tháng 5 vừa qua, cụm mối đe dọa này đã được nâng cấp lên một nhóm tạm thời, TGR-STA-0043, sau những tiết lộ về các nỗ lực gián điệp mạng liên tục nhắm vào các thực thể chính phủ ít nhất từ cuối năm 2022 như một phần của chiến dịch có tên mã Operation Diplomatic Specter.
Unit 42 cho biết việc tiếp tục theo dõi nhóm đã cung cấp đủ bằng chứng để phân loại đây là một tác nhân đe dọa mới với mục tiêu chính là thu thập thông tin tình báo dài hạn và lấy dữ liệu mật từ các mục tiêu có lợi ích chiến lược đối với Trung Quốc, cả về kinh tế và địa chính trị.
"Nhóm quan tâm đến các thông tin liên lạc ngoại giao, tình báo liên quan đến quốc phòng và các hoạt động của các bộ ngành chính phủ quan trọng," công ty cho biết. "Thời điểm và phạm vi hoạt động của nhóm thường trùng khớp với các sự kiện toàn cầu lớn và các vấn đề an ninh khu vực."
Khía cạnh này đặc biệt tiết lộ, không chỉ vì các nhóm tin tặc Trung Quốc khác cũng đã áp dụng một cách tiếp cận tương tự. Ví dụ, một đối thủ mới được Recorded Future theo dõi dưới tên RedNovember được đánh giá là đã nhắm mục tiêu vào các thực thể ở Đài Loan và Panama gần với "các sự kiện địa chính trị và quân sự có lợi ích chiến lược quan trọng đối với Trung Quốc."
Phương thức hoạt động (modus operandi) của Phantom Taurus cũng nổi bật nhờ việc sử dụng các công cụ và kỹ thuật được phát triển tùy chỉnh hiếm khi được quan sát thấy trong bối cảnh mối đe dọa. Điều này bao gồm một bộ mã độc tùy chỉnh chưa từng thấy trước đây có tên NET-STAR. Được phát triển bằng .NET, chương trình này được thiết kế để nhắm mục tiêu vào các máy chủ Internet Information Services (IIS) web.
Tuy nhiên, nhóm tin tặc này đã dựa vào cơ sở hạ tầng hoạt động chung đã từng được sử dụng bởi các nhóm như AT27 (còn gọi là Iron Taurus), APT41 (còn gọi là Starchy Taurus hoặc Winnti) và Mustang Panda (còn gọi là Stately Taurus). Ngược lại, các thành phần cơ sở hạ tầng được tác nhân đe dọa này sử dụng lại chưa được phát hiện trong các hoạt động do các nhóm khác thực hiện, cho thấy một dạng "phân vùng hoạt động" (operational compartmentalization) trong hệ sinh thái chung.
Vector truy cập ban đầu chính xác vẫn chưa rõ ràng, nhưng các cuộc xâm nhập trước đây đã vũ khí hóa các máy chủ Internet Information Services (IIS) và Microsoft Exchange cục bộ dễ bị tổn thương, lạm dụng các lỗ hổng như ProxyLogon và ProxyShell để xâm nhập mạng mục tiêu.
Một khía cạnh quan trọng khác của các cuộc tấn công là sự chuyển dịch từ việc thu thập email sang việc nhắm mục tiêu trực tiếp vào cơ sở dữ liệu bằng cách sử dụng một batch script cho phép kết nối với cơ sở dữ liệu SQL Server, xuất kết quả dưới dạng tệp CSV và chấm dứt kết nối. Script này được thực thi bằng cơ sở hạ tầng Windows Management Instrumentation (WMI).
Unit 42 cho biết tác nhân đe dọa này đã sử dụng phương pháp này để tìm kiếm một cách có hệ thống các tài liệu quan trọng và thông tin liên quan đến các quốc gia cụ thể như Afghanistan và Pakistan.
Bộ mã độc NET-STAR và kỹ thuật lẩn tránh
Các cuộc tấn công gần đây của Phantom Taurus cũng đã tận dụng NET-STAR, bao gồm ba backdoor dựa trên web, mỗi backdoor thực hiện một chức năng cụ thể trong khi vẫn duy trì quyền truy cập vào môi trường IIS bị xâm nhập -
- IIServerCore, một backdoor module không tệp được tải bằng ASPX web shell, hỗ trợ thực thi đối số dòng lệnh, lệnh tùy ý và payload trong bộ nhớ, đồng thời truyền kết quả qua kênh liên lạc C2 được mã hóa.
- AssemblyExecuter V1, tải và thực thi các payload .NET bổ sung trong bộ nhớ.
- AssemblyExecuter V2, một phiên bản nâng cao của AssemblyExecuter V1, cũng được trang bị khả năng bỏ qua Antimalware Scan Interface (AMSI) và Event Tracing for Windows (ETW).
"Bộ mã độc NET-STAR thể hiện các kỹ thuật né tránh tiên tiến của Phantom Taurus và sự hiểu biết sâu sắc về kiến trúc .NET, đại diện cho một mối đe dọa đáng kể đối với các máy chủ hướng ra Internet," Unit 42 cho biết. "IIServerCore cũng hỗ trợ một lệnh có tên changeLastModified. Điều này cho thấy mã độc có khả năng timestomping chủ động, được thiết kế để đánh lừa các nhà phân tích an ninh và các công cụ pháp y kỹ thuật số."
