Một nhóm tấn công dai dẳng nâng cao (APT) liên kết với Trung Quốc đã nhắm mục tiêu vào cơ sở hạ tầng viễn thông quan trọng ở Nam Mỹ kể từ năm 2024, tấn công các hệ thống Windows, Linux và thiết bị biên bằng ba loại mã độc khác nhau.
Hoạt động này đang được Cisco Talos theo dõi dưới biệt danh UAT-9244, và được mô tả là có liên quan chặt chẽ với một nhóm khác được gọi là FamousSparrow.
Đáng chú ý là FamousSparrow được đánh giá là có sự chồng chéo về chiến thuật với Salt Typhoon, một nhóm gián điệp liên kết với Trung Quốc nổi tiếng với việc nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông. Mặc dù có dấu chân tấn công tương tự giữa UAT-9244 và Salt Typhoon, nhưng không có bằng chứng kết luận nào liên kết hai nhóm này với nhau.
Trong chiến dịch được công ty an ninh mạng phân tích, các chuỗi tấn công đã được phát hiện phân phối ba mã độc (implant) chưa từng được ghi nhận trước đây: TernDoor nhắm mục tiêu vào Windows, PeerTime (hay còn gọi là angrypeer) nhắm mục tiêu vào Linux và BruteEntry, được cài đặt trên các thiết bị biên mạng.
Phương pháp truy cập ban đầu được sử dụng trong các cuộc tấn công chưa được biết chính xác, mặc dù đối tượng tấn công trước đây đã nhắm mục tiêu vào các hệ thống chạy phiên bản lỗi thời của Windows Server và Microsoft Exchange Server để thả web shells cho các hoạt động tiếp theo.
TernDoor: Backdoor trên Windows
TernDoor được triển khai thông qua DLL side-loading, tận dụng tệp thực thi hợp pháp "wsprint.exe" để khởi chạy một DLL độc hại ("BugSplatRc64.dll") giải mã và thực thi payload cuối cùng trong bộ nhớ. Là một biến thể của Crowdoor (bản thân nó là một biến thể của SparrowDoor), backdoor này được cho là đã được UAT-9244 sử dụng từ ít nhất tháng 11 năm 2024.
Nó thiết lập sự tồn tại dai dẳng trên máy chủ bằng cách sử dụng một Scheduled Task hoặc Registry Run key. Nó cũng cho thấy sự khác biệt so với CrowDoor bằng cách sử dụng một bộ mã lệnh khác nhau và nhúng một Windows driver để tạm dừng, tiếp tục và chấm dứt các processes. Hơn nữa, nó chỉ hỗ trợ một công tắc dòng lệnh ("-u") để tự gỡ cài đặt khỏi máy chủ và xóa tất cả các artifacts liên quan.
Sau khi khởi chạy, nó thực hiện kiểm tra để đảm bảo rằng nó đã được inject vào "msiexec.exe", sau đó nó giải mã một cấu hình để trích xuất các tham số command-and-control (C2). Sau đó, nó thiết lập liên lạc với C2 server, cho phép nó tạo các processes, chạy các lệnh tùy ý, đọc/ghi tệp, thu thập thông tin hệ thống và triển khai driver để ẩn các thành phần độc hại và quản lý các processes.
PeerTime: Backdoor P2P trên Linux
Phân tích thêm về cơ sở hạ tầng của UAT-9244 đã dẫn đến việc phát hiện ra một backdoor peer-to-peer (P2P) trên Linux có tên là PeerTime, được biên dịch cho nhiều kiến trúc (tức là ARM, AARCH, PPC và MIPS) để lây nhiễm nhiều loại hệ thống nhúng. Backdoor ELF này, cùng với một binary instrumentor, được triển khai thông qua một shell script.
"Binary ELF instrumentor sẽ kiểm tra sự hiện diện của Docker trên máy chủ bị xâm nhập bằng các lệnh docker và docker –q," các nhà nghiên cứu Asheer Malhotra và Brandon White của Talos cho biết. "Nếu Docker được tìm thấy, thì PeerTime loader sẽ được thực thi. Instrumentor bao gồm các debug strings bằng tiếng Trung giản thể, cho thấy đây là một binary tùy chỉnh được tạo và triển khai bởi các tác nhân đe dọa nói tiếng Trung."
Mục tiêu chính của loader là giải mã và giải nén payload PeerTime cuối cùng và thực thi nó trực tiếp trong bộ nhớ. PeerTime có hai phiên bản: một phiên bản được viết bằng C/C++ và một biến thể mới hơn được lập trình bằng Rust. Ngoài khả năng tự đổi tên thành một process vô hại để tránh bị phát hiện, backdoor này còn sử dụng giao thức BitTorrent để lấy thông tin C2, tải xuống tệp từ các peer của nó và thực thi chúng trên hệ thống bị xâm nhập.
BruteEntry: Công cụ quét Brute-Force trên thiết bị biên
Cũng được lưu trữ trên các máy chủ của tác nhân đe dọa là một tập hợp các shell scripts và payloads, bao gồm một công cụ quét brute-force có tên mã là BruteEntry được cài đặt trên các thiết bị biên để biến chúng thành các nodes proxy quét hàng loạt trong một Operational Relay Box (ORB) có khả năng brute-force các máy chủ Postgres, SSH và Tomcat.
Điều này được thực hiện bằng một shell script thả hai thành phần dựa trên Golang: một orchestrator cung cấp BruteEntry, sau đó liên hệ với C2 server để lấy danh sách các địa chỉ IP sẽ bị nhắm mục tiêu để thực hiện các cuộc tấn công brute-force. Backdoor cuối cùng báo cáo các lần đăng nhập thành công trở lại C2 server.
"'Success' cho biết liệu cuộc tấn công brute force có thành công hay không (true hoặc false), và 'notes' cung cấp thông tin cụ thể về việc brute force có thành công hay không," Talos cho biết. "Nếu đăng nhập thất bại, ghi chú sẽ ghi 'All credentials tried.'"
