Các tác nhân đe dọa có liên hệ với Trung Quốc đã bị quy trách nhiệm cho một chiến dịch tấn công mới lạ, làm tổn hại hệ thống ArcGIS và biến nó thành một backdoor trong hơn một năm.
Hoạt động này, theo ReliaQuest, là do nhóm tin tặc được nhà nước Trung Quốc bảo trợ có tên Flax Typhoon thực hiện, nhóm này cũng được theo dõi dưới tên Ethereal Panda và RedJuliett. Theo chính phủ Hoa Kỳ, nhóm này được đánh giá là một công ty đại chúng, có trụ sở tại Bắc Kinh, được biết đến với tên Integrity Technology Group.
"Nhóm này đã khéo léo sửa đổi một Java server object extension (SOE) của ứng dụng bản đồ địa lý thành một web shell hoạt động hiệu quả," công ty an ninh mạng cho biết trong một báo cáo được chia sẻ với The Hacker News. "Bằng cách kiểm soát quyền truy cập bằng một khóa cứng để độc quyền kiểm soát và nhúng nó vào các bản sao lưu hệ thống, chúng đã đạt được khả năng duy trì dai dẳng, sâu rộng trong thời gian dài, có thể tồn tại ngay cả khi hệ thống được phục hồi hoàn toàn."
Flax Typhoon nổi tiếng với việc sống đúng với triết lý "tàng hình" trong kỹ thuật tấn công của mình bằng cách tích hợp rộng rãi các phương pháp living-off-the-land (LotL) và hoạt động điều khiển thủ công (hands-on keyboard activity), qua đó biến các thành phần phần mềm thành công cụ cho các cuộc tấn công độc hại, đồng thời né tránh sự phát hiện.
Cuộc tấn công này cho thấy cách mà các đối tượng tấn công ngày càng lạm dụng các công cụ và dịch vụ đáng tin cậy để vượt qua các biện pháp bảo mật và giành quyền truy cập trái phép vào hệ thống của nạn nhân, đồng thời hòa lẫn vào lưu lượng truy cập máy chủ bình thường.
Chi tiết chuỗi tấn công
Chuỗi tấn công "đặc biệt thông minh" này liên quan đến việc các tác nhân đe dọa nhắm mục tiêu vào một máy chủ ArcGIS công khai bằng cách thỏa hiệp một tài khoản quản trị cổng thông tin để triển khai một SOE độc hại.
"Những kẻ tấn công đã kích hoạt SOE độc hại bằng cách sử dụng một tiện ích mở rộng ArcGIS tiêu chuẩn [JavaSimpleRESTSOE], gọi một thao tác REST để chạy các lệnh trên máy chủ nội bộ thông qua cổng thông tin công cộng – khiến hoạt động của chúng khó bị phát hiện," ReliaQuest cho biết. "Bằng cách thêm một khóa cứng, Flax Typhoon đã ngăn chặn các đối tượng tấn công khác, hoặc thậm chí cả các quản trị viên tò mò, can thiệp vào quyền truy cập của chúng."
Cái gọi là "web shell" được cho là đã được sử dụng để thực hiện các hoạt động khám phá mạng, thiết lập duy trì bằng cách tải lên một tệp thực thi SoftEther VPN đã được đổi tên ("bridge.exe") vào thư mục "System32", và sau đó tạo một dịch vụ có tên "SysBridge" để tự động khởi động tệp nhị phân này mỗi khi máy chủ được khởi động lại.
Quá trình "bridge.exe" đã được phát hiện thiết lập các kết nối HTTPS đi đến một địa chỉ IP do kẻ tấn công kiểm soát trên cổng 443 với mục tiêu chính là thiết lập một kênh VPN bí mật đến máy chủ bên ngoài.
"Cầu nối VPN này cho phép những kẻ tấn công mở rộng mạng cục bộ của mục tiêu đến một vị trí từ xa, khiến có vẻ như kẻ tấn công là một phần của mạng nội bộ," các nhà nghiên cứu Alexa Feminella và James Xiang giải thích. "Điều này cho phép chúng vượt qua giám sát cấp mạng, hoạt động như một backdoor cho phép chúng thực hiện lateral movement và exfiltration bổ sung."
Các tác nhân đe dọa được cho là đã nhắm mục tiêu cụ thể vào hai máy trạm thuộc về nhân viên IT để lấy credentials và xâm nhập sâu hơn vào mạng. Điều tra thêm đã phát hiện ra rằng kẻ tấn công có quyền truy cập vào tài khoản quản trị và có thể đặt lại mật khẩu.
"Cuộc tấn công này không chỉ làm nổi bật sự sáng tạo và tinh vi của những kẻ tấn công mà còn cho thấy sự nguy hiểm khi các chức năng hệ thống đáng tin cậy bị vũ khí hóa để trốn tránh các biện pháp phát hiện truyền thống," các nhà nghiên cứu lưu ý. "Vấn đề không chỉ là phát hiện hoạt động độc hại; đó là nhận ra cách các công cụ và quy trình hợp pháp có thể bị thao túng và chống lại bạn."
