Một chiến dịch gián điệp mạng bị nghi ngờ có trụ sở tại Trung Quốc đã nhắm mục tiêu vào các tổ chức quân sự ở Đông Nam Á như một phần của chiến dịch do nhà nước tài trợ kéo dài từ ít nhất năm 2020.
Palo Alto Networks Unit 42 đang theo dõi hoạt động đe dọa này dưới tên gọi CL-STA-1087, trong đó CL là viết tắt của cluster (cụm), và STA là viết tắt của động cơ được nhà nước hậu thuẫn (state-backed motivation).
"Hoạt động này thể hiện sự kiên nhẫn trong hoạt động chiến lược và tập trung vào việc thu thập thông tin tình báo có mục tiêu cao, thay vì đánh cắp dữ liệu hàng loạt," các nhà nghiên cứu bảo mật Lior Rochberger và Yoav Zemah cho biết. "Những kẻ tấn công đứng sau nhóm này đã tích cực tìm kiếm và thu thập các tệp rất cụ thể liên quan đến năng lực quân sự, cấu trúc tổ chức và nỗ lực hợp tác với các lực lượng vũ trang phương Tây."
Chiến dịch này thể hiện những đặc điểm thường liên quan đến các hoạt động Advanced Persistent Threat (APT), bao gồm các phương thức phân phối được thiết kế cẩn thận, chiến lược né tránh phòng thủ, cơ sở hạ tầng hoạt động cực kỳ ổn định và triển khai payload tùy chỉnh được thiết kế để hỗ trợ truy cập trái phép liên tục vào các hệ thống bị xâm nhập.
Các công cụ được sử dụng
Các công cụ được tác nhân đe dọa sử dụng trong hoạt động độc hại bao gồm các backdoor có tên AppleChris và MemFun, cùng với một công cụ thu thập thông tin đăng nhập có tên Getpass.
Nhà cung cấp an ninh mạng cho biết họ đã phát hiện ra bộ công cụ xâm nhập sau khi xác định việc thực thi PowerShell đáng ngờ, cho phép tập lệnh đi vào trạng thái ngủ trong sáu giờ và sau đó tạo các reverse shell đến máy chủ command-and-control (C2) do tác nhân đe dọa kiểm soát. Vector truy cập ban đầu chính xác được sử dụng trong cuộc tấn công vẫn chưa được xác định.
Trình tự lây nhiễm liên quan đến việc triển khai AppleChris, với các phiên bản khác nhau được thả xuống các điểm cuối mục tiêu sau di chuyển ngang để duy trì sự kiên trì và né tránh phát hiện dựa trên signature. Các tác nhân đe dọa cũng được quan sát thấy đang tiến hành tìm kiếm liên quan đến hồ sơ cuộc họp chính thức, các hoạt động quân sự chung và đánh giá chi tiết về khả năng hoạt động.
"Những kẻ tấn công đặc biệt quan tâm đến các tệp liên quan đến cấu trúc và chiến lược tổ chức quân sự, bao gồm các hệ thống command, control, communications, computers, and intelligence (C4I)," các nhà nghiên cứu lưu ý.
Cả biến thể AppleChris và MemFun đều được thiết kế để truy cập tài khoản Pastebin dùng chung, hoạt động như một dead drop resolver để tìm nạp địa chỉ C2 thực tế được lưu trữ ở định dạng giải mã Base64. Một phiên bản AppleChris cũng dựa vào Dropbox để trích xuất thông tin C2, với phương pháp dựa trên Pastebin được sử dụng làm tùy chọn dự phòng. Các paste của Pastebin có từ tháng 9 năm 2020.
Được khởi chạy thông qua DLL hijacking, AppleChris bắt đầu liên lạc với máy chủ C2 để nhận các lệnh cho phép nó thực hiện liệt kê ổ đĩa (drive enumeration), liệt kê thư mục (directory listing), tải lên/tải xuống/xóa tệp (file upload/download/deletion), liệt kê tiến trình (process enumeration), thực thi shell từ xa (remote shell execution) và tạo tiến trình ẩn (silent process creation).
Biến thể tunneler thứ hai thể hiện sự phát triển của phiên bản tiền nhiệm, chỉ sử dụng Pastebin để lấy địa chỉ C2, ngoài việc giới thiệu các khả năng proxy mạng nâng cao.
"Để vượt qua các hệ thống bảo mật tự động, một số biến thể mã độc sử dụng các chiến thuật sandbox evasion tại thời gian chạy," Unit 42 cho biết. "Các biến thể này kích hoạt thực thi bị trì hoãn thông qua bộ hẹn giờ ngủ 30 giây (EXE) và 120 giây (DLL), kéo dài hơn các cửa sổ giám sát điển hình của các sandbox tự động một cách hiệu quả."
MemFun được khởi chạy thông qua một chuỗi đa giai đoạn: một loader ban đầu sẽ inject shellcode chịu trách nhiệm khởi chạy một downloader trong bộ nhớ, với mục đích chính là truy xuất chi tiết cấu hình C2 từ Pastebin, giao tiếp với máy chủ C2 và lấy một DLL, lần lượt kích hoạt việc thực thi của backdoor.
Vì DLL được tìm nạp từ C2 tại thời gian chạy, nó giúp các tác nhân đe dọa dễ dàng phân phối các payload khác mà không cần thay đổi bất cứ điều gì. Hành vi này biến MemFun thành một nền tảng mã độc mô-đun trái ngược với một backdoor tĩnh như AppleChris.
Việc thực thi MemFun bắt đầu với một dropper chạy các kiểm tra anti-forensic trước khi thay đổi dấu thời gian tạo tệp của chính nó để khớp với thời gian tạo của thư mục Windows System. Sau đó, nó inject payload chính vào bộ nhớ của một tiến trình bị đình chỉ liên quan đến "dllhost.exe" bằng cách sử dụng một kỹ thuật được gọi là process hollowing.
Khi làm như vậy, mã độc chạy dưới vỏ bọc một tiến trình Windows hợp pháp để tránh bị phát hiện và tránh để lại các artifact bổ sung trên đĩa.
Một phiên bản tùy chỉnh của Mimikatz có tên Getpass cũng được sử dụng trong các cuộc tấn công để leo thang đặc quyền và cố gắng trích xuất mật khẩu dạng plaintext, NTLM hashes và dữ liệu xác thực trực tiếp từ bộ nhớ tiến trình "lsass.exe".
"Tác nhân đe dọa đứng sau nhóm này đã thể hiện sự kiên nhẫn trong hoạt động và nhận thức về bảo mật," Unit 42 kết luận. "Họ đã duy trì quyền truy cập ẩn trong nhiều tháng trong khi tập trung vào việc thu thập thông tin tình báo chính xác và triển khai các biện pháp bảo mật hoạt động mạnh mẽ để đảm bảo chiến dịch kéo dài."
