APT41 Tấn Công Chính Phủ Châu Phi: Phân Tích Chiến Thuật Gián Điệp Tinh Vi

22/07/2025
6 mins read

Các nhà phân tích của Kaspersky MDR gần đây đã phát hiện một cuộc tấn công có chủ đích tinh vi do nhóm gián điệp mạng nói tiếng Trung Quốc APT41 thực hiện nhằm vào các dịch vụ CNTT của chính phủ tại khu vực châu Phi. Sự kiện này đánh dấu sự leo thang đáng kể trong hoạt động của nhóm trên lục địa, nơi trước đây ghi nhận rất ít sự cố liên quan đến tác nhân này.

Nội dung
Giai Đoạn Thâm Nhập và Khai Thác Ban Đầu
Thám Thính Sâu và Thiết Lập C2
Phát Hiện và Chuỗi Thực Thi Ban Đầu
Nâng Cao Đặc Quyền và Di Chuyển Ngang
Chiếm Đoạt Thông Tin Xác Thực và Di Chuyển SMB
Triển Khai Công Cụ và Các Kỹ Thuật Lẩn Tránh
Khai Thác Cobalt Strike và DLL Sideloading
Trojans Tùy Chỉnh và Web Shell
Các Công Cụ Khác Được Sử Dụng
Thiết Lập Reverse Shell
Điểm Khởi Đầu và Cơ Sở Hạ Tầng Tấn Công
Các Chỉ Báo Về Sự Thỏa Hiệp (IOCs)
Gán Nhóm và Các Kỹ Thuật, Chiến Thuật, Quy Trình (TTPs)
Bài Học và Đề Xuất Phòng Ngừa

Giai Đoạn Thâm Nhập và Khai Thác Ban Đầu

Thám Thính Sâu và Thiết Lập C2

Các tác nhân tấn công đã tích hợp các tên dịch vụ nội bộ, địa chỉ IP và máy chủ proxy được mã hóa cứng trực tiếp vào phần mềm độc hại của chúng. Điều này chứng tỏ một giai đoạn thám thính sâu rộng trước đó, giúp chúng hiểu rõ cấu trúc mạng của mục tiêu.

Một máy chủ lệnh và kiểm soát (C2) quan trọng đã được thiết lập trên một phiên bản SharePoint bị xâm phạm nằm trong chính cơ sở hạ tầng của nạn nhân. Việc này cho phép duy trì các kênh liên lạc nội bộ một cách lén lút, khó bị phát hiện.

Phát Hiện và Chuỗi Thực Thi Ban Đầu

Sự xâm nhập ban đầu được phát hiện thông qua hoạt động đáng ngờ trên nhiều máy trạm, được kích hoạt bởi các cảnh báo từ mô-đun WmiExec của bộ công cụ Impacket. Hoạt động này biểu hiện thành một chuỗi quy trình bất thường, trong đó tiến trình svchost.exe tạo ra tiến trình cmd.exe. Đầu ra của các lệnh sau đó được chuyển hướng đến các tệp trên các chia sẻ mạng quản trị, với tên tệp tuân theo các mẫu số chấm, ví dụ: 1.2.3.4.txt.

Tương tự, mô-đun Atexec của Impacket đã được sử dụng để tạo các tác vụ theo lịch nhằm kiểm tra tính khả dụng của máy chủ C2, cả trực tiếp và thông qua các proxy nội bộ đã được xác định.

Theo báo cáo, nguồn gốc của hoạt động độc hại này đã được truy vết ngược về một máy chủ bị xâm phạm không được giám sát, đang chạy bộ công cụ Impacket dưới một tài khoản dịch vụ. Máy chủ này sau đó đã được tích hợp vào hệ thống đo từ xa để phân tích sâu hơn, cung cấp dữ liệu quan trọng cho việc hiểu rõ hơn về chuỗi tấn công.

Nâng Cao Đặc Quyền và Di Chuyển Ngang

Sau khi thực thi ban đầu, các tác nhân tấn công đã tạm dừng hoạt động trong một thời gian ngắn trước khi tiếp tục với các lệnh thám thính nhằm xác định các tiến trình và cổng đang chạy. Các lệnh như netstattasklist đã được sử dụng, có khả năng để tìm kiếm các giải pháp bảo mật như tác nhân EDR (Endpoint Detection and Response) hoặc XDR (Extended Detection and Response).

Chiếm Đoạt Thông Tin Xác Thực và Di Chuyển SMB

Giai đoạn nâng cao đặc quyền bao gồm việc trích xuất (dump) các hive registry SYSTEMSAM bằng cách sử dụng công cụ reg.exe. Mặc dù các hệ thống được giám sát đã có các biện pháp ngăn chặn, những kẻ tấn công vẫn thành công trong việc thu thập thông tin xác thực từ các máy chủ không được bảo vệ.

Sự cố này một lần nữa nhấn mạnh tầm quan trọng của việc triển khai tác nhân bảo mật toàn diện trên toàn bộ cơ sở hạ tầng và quản lý đặc quyền chặt chẽ. Các tác nhân tấn công đã khai thác một tài khoản miền (domain account) với quyền quản trị cục bộ và một tài khoản sao lưu (backup account) với quyền quản trị miền (domain admin privileges) để thực hiện di chuyển ngang qua giao thức SMB (Server Message Block). Thông qua SMB, các công cụ như Cobalt Strike và các tác nhân tùy chỉnh đã được chuyển đến các đường dẫn như C:\Windows\Tasks hoặc C:\ProgramData.

Triển Khai Công Cụ và Các Kỹ Thuật Lẩn Tránh

Khai Thác Cobalt Strike và DLL Sideloading

Việc thực thi từ xa được tiến hành thông qua WMI (Windows Management Instrumentation). Cobalt Strike đã được triển khai dưới dạng các tải trọng được mã hóa (ví dụ: các tệp TXT hoặc INI). Các tải trọng này sau đó được giải mã thông qua kỹ thuật DLL sideloading, lợi dụng các ứng dụng hợp pháp như cookie_exporter.exe hoặc TmPfw.exe.

Các DLL độc hại được sử dụng trong chiến dịch này bao gồm các kiểm tra chống phân tích (anti-analysis checks) để phát hiện môi trường gỡ lỗi và các gói ngôn ngữ (ví dụ: tránh các hệ thống sử dụng tiếng Nhật, tiếng Hàn hoặc tiếng Trung). Sau khi vượt qua các kiểm tra này, chúng sử dụng các quy trình tăng tốc SSE (Streaming SIMD Extensions) để giải mã tải trọng trước khi tiêm chúng vào bộ nhớ hoặc các tiến trình mới.

Trojans Tùy Chỉnh và Web Shell

Chiến dịch còn sử dụng các Trojans C# tùy chỉnh, được đặt tên là agents.exeagentx.exe. Các Trojan này giao tiếp với một web shell CommandHandler.aspx trên máy chủ C2 SharePoint để thực thi lệnh và lấy cắp dữ liệu thông qua upload.ashx. Dữ liệu thu thập bao gồm lịch sử trình duyệt, tài liệu và các cấu hình hệ thống.

Các Công Cụ Khác Được Sử Dụng

Ngoài ra, nhóm tấn công đã triển khai một loạt các công cụ chuyên biệt khác:

  • Một phiên bản sửa đổi của Pillager stealer, được sử dụng để trích xuất thông tin xác thực và dữ liệu dự án, được biên dịch dưới dạng wmicodegen.dll và được sideloading thông qua convert-moftoprovider.exe.
  • Checkout, một công cụ được thiết kế để thu thập thông tin trình duyệt và thẻ tín dụng.
  • RawCopy, được sử dụng để trích xuất các tệp registry thô.
  • Một DLL Mimikatz được sideloading thông qua java.exe để trích xuất thông tin xác thực.

Thiết Lập Reverse Shell

Các reverse shell được thiết lập bằng cách sử dụng các tệp HTA (HTML Application) độc hại. Các tệp này được tải xuống từ các miền giả mạo (impersonated domains) như github.githubassets.net, cho phép kẻ tấn công có quyền truy cập lệnh liên tục và bền bỉ vào hệ thống bị xâm nhập.

Điểm Khởi Đầu và Cơ Sở Hạ Tầng Tấn Công

Phân tích hồi cứu đã tiết lộ rằng một máy chủ web IIS là điểm xâm nhập ban đầu. Máy chủ này đã lưu trữ các thành phần của Cobalt Strike và một web shell Neo-reGeorg (được phát hiện là HEUR:Backdoor.MSIL.WebShell.gen) trong các tệp tạm thời của ASP.NET. Máy chủ IIS này cũng đóng vai trò là proxy, chuyển tiếp lưu lượng truy cập bên ngoài để khởi chạy các module của Impacket, che giấu nguồn gốc thực sự của các hoạt động độc hại.

Các Chỉ Báo Về Sự Thỏa Hiệp (IOCs)

Dựa trên phân tích, các chỉ báo về sự thỏa hiệp (IOCs) liên quan đến chiến dịch của APT41 này bao gồm:

  • Tên tệp/Công cụ độc hại:
    • agents.exe (Custom C# Trojan)
    • agentx.exe (Custom C# Trojan)
    • wmicodegen.dll (Modified Pillager stealer)
    • Checkout (Browser/credit card info stealer)
    • RawCopy (Raw registry file extractor)
    • Cobalt Strike (Payloads deployed as TXT/INI files)
    • Impacket (WmiExec, Atexec modules)
  • Web Shells:
    • CommandHandler.aspx (SharePoint C2 web shell)
    • HEUR:Backdoor.MSIL.WebShell.gen (Neo-reGeorg web shell)
  • Miền/IP liên quan đến C2:
    • Các biến thể của s3-azure.com (C2 domains)
    • github.githubassets.net (Impersonated domain for HTA files)
  • Đường dẫn tệp bị ảnh hưởng/được sử dụng:
    • C:\Windows\Tasks
    • C:\ProgramData
    • C:\Windows\Temp
  • Tiến trình liên quan:
    • svchost.exe (spawning cmd.exe)
    • cmd.exe
    • cookie_exporter.exe (bị lạm dụng cho DLL sideloading)
    • TmPfw.exe (bị lạm dụng cho DLL sideloading)
    • convert-moftoprovider.exe (bị lạm dụng cho DLL sideloading)
    • java.exe (bị lạm dụng cho DLL sideloading Mimikatz)

Gán Nhóm và Các Kỹ Thuật, Chiến Thuật, Quy Trình (TTPs)

Việc gán nhóm tấn công cho APT41 được thực hiện với độ tin cậy cao, dựa trên sự trùng khớp của các Kỹ thuật, Chiến thuật và Quy trình (TTPs) được quan sát thấy trong chiến dịch này với các hoạt động đã biết trước đây của nhóm. Các TTPs đặc trưng bao gồm:

  • Sử dụng bộ công cụ ImpacketWMI để thực thi lệnh và di chuyển ngang.
  • Kỹ thuật DLL sideloading để triển khai các tải trọng độc hại thông qua các ứng dụng hợp pháp.
  • Đặt các tệp độc hại trong các đường dẫn hệ thống như C:\Windows\Temp.
  • Sử dụng các miền C2 tương tự (ví dụ: các biến thể của s3-azure.com), cho thấy sự liên kết với cơ sở hạ tầng đã biết của APT41.

Điểm đáng chú ý là nhóm APT41 đã thể hiện khả năng thích ứng linh hoạt trong việc sử dụng công cụ, đặc biệt là việc viết lại các tệp thực thi thành DLL để tăng cường khả năng lẩn tránh và né tránh các biện pháp phát hiện.

Bài Học và Đề Xuất Phòng Ngừa

Chiến dịch tấn công tinh vi của APT41 này một lần nữa củng cố những bài học quan trọng trong phòng thủ mạng. Để chống lại các mối đe dọa thích ứng và dai dẳng như vậy, các tổ chức cần tập trung vào các lĩnh vực sau:

  • Giám sát toàn diện: Đảm bảo khả năng giám sát sâu rộng và liên tục trên toàn bộ mạng lưới và hệ thống.
  • Phạm vi phủ sóng cơ sở hạ tầng đầy đủ: Triển khai các giải pháp bảo mật tự động hóa và ngăn chặn trên mọi điểm cuối và máy chủ trong cơ sở hạ tầng.
  • Nguyên tắc đặc quyền tối thiểu: Áp dụng nghiêm ngặt nguyên tắc đặc quyền tối thiểu (least-privilege principle) cho tất cả tài khoản và hệ thống, hạn chế tối đa khả năng di chuyển ngang của kẻ tấn công ngay cả khi một tài khoản bị xâm phạm.

Việc tuân thủ các nguyên tắc này sẽ giúp nâng cao khả năng phát hiện, phản ứng và cuối cùng là đẩy lùi hiệu quả các tác nhân đe dọa khỏi môi trường của tổ chức.