Gần đây, CYFIRMA đã phát hiện một chiến dịch gián điệp mạng tinh vi được thực hiện bởi nhóm tác nhân đe dọa APT36, còn được biết đến với tên gọi Transparent Tribe. Nhóm này có nguồn gốc từ Pakistan và nổi tiếng với lịch sử nhắm mục tiêu vào các tổ chức quốc phòng và chính phủ Ấn Độ. Hoạt động mới nhất này đánh dấu một sự thay đổi đáng kể trong chiến thuật của APT36, khi nhóm điều chỉnh kho vũ khí tấn công của mình để xâm nhập vào các môi trường dựa trên Linux, đặc biệt tập trung vào BOSS Linux – một bản phân phối được các cơ quan chính phủ Ấn Độ sử dụng rộng rãi.
Chiến dịch này tận dụng các email lừa đảo (phishing emails) để phát tán một tệp tin nén độc hại, có tên là “Cyber-Security-Advisory.zip”. Bên trong tệp ZIP này chứa một tệp lối tắt .desktop giả mạo.
CYFIRMA nhấn mạnh rằng cuộc tấn công đa giai đoạn này được thiết kế để vượt qua sự nghi ngờ của người dùng và né tránh các biện pháp bảo mật truyền thống, với mục tiêu cuối cùng là đánh cắp dữ liệu nhạy cảm từ các cơ sở hạ tầng quan trọng. Bằng cách kết hợp kỹ thuật xã hội với sự tinh vi về kỹ thuật, APT36 đã thể hiện một sự tiến hóa đáng lo ngại trong khả năng hoạt động của chúng, đặt ra nguy cơ cao hơn đối với an ninh quốc gia.
Quy trình tấn công chi tiết
Phương thức lây nhiễm ban đầu
Cuộc tấn công bắt đầu bằng một email lừa đảo tưởng chừng vô hại, lừa gạt nhân viên không nghi ngờ mở tệp ZIP đính kèm. Bên trong tệp ZIP này là một tệp .desktop độc hại có tên “Cyber-Security-Advisory.desktop”, được ngụy trang thành một lối tắt hợp pháp. Kỹ thuật này khai thác sự thiếu cảnh giác của người dùng đối với các tệp lối tắt, vốn thường được coi là an toàn hơn so với các tệp thực thi truyền thống.
Quy trình khai thác và lây nhiễm
Khi được thực thi, tệp .desktop kích hoạt một cơ chế hành động kép:
- Nó tải xuống và mở một tệp PowerPoint mồi nhử (thực chất là một tệp HTML với một iframe được ngụy trang thành bài thuyết trình) thông qua LibreOffice Impress. Mục đích của bước này là đánh lạc hướng nạn nhân, tạo ra một màn hình hiển thị nội dung hợp lệ để che giấu các hoạt động độc hại đang diễn ra ở chế độ nền.
- Đồng thời, tệp .desktop này cũng thực hiện việc tải về một binary ELF độc hại, có tên ban đầu là “BOSS.elf”, và lưu trữ nó dưới tên “client.elf”. Binary này được viết bằng ngôn ngữ Go, một ngôn ngữ lập trình phổ biến được các nhóm APT ưa chuộng vì khả năng biên dịch thành tệp thực thi độc lập và khả năng khó phân tích ngược.
Hoạt động hậu lây nhiễm của mã độc
Binary độc hại “client.elf” được thực thi một cách bí mật ở chế độ nền. Các lệnh như nohup và việc chuyển hướng đầu ra đến /dev/null được sử dụng để ngăn chặn bất kỳ thông báo lỗi hoặc đầu ra nào hiển thị trên màn hình, giúp mã độc tránh bị phát hiện bởi người dùng hoặc các công cụ giám sát đơn giản. Mã độc thường hoạt động từ thư mục /tmp, một thư mục có quyền ghi công khai và thường ít được kiểm tra về các hoạt động độc hại. Việc sử dụng thư mục này cũng giúp mã độc thiết lập sự bền vững và duy trì quyền truy cập.
Sau khi được thực thi, mã độc sẽ thiết lập kết nối với máy chủ Command and Control (C2) tại địa chỉ 101.99.92.182:12520. Kênh liên lạc này là đường truyền cho việc nhận lệnh từ kẻ tấn công và gửi dữ liệu đã thu thập được về máy chủ C2.
Các hoạt động thu thập dữ liệu của mã độc bao gồm:
- Thu thập chi tiết hệ thống như hostname, thông tin CPU, và dung lượng RAM.
- Quét các ổ đĩa để tìm kiếm và thu thập danh sách các tệp tin.
- Chụp ảnh màn hình desktop của nạn nhân. Hoạt động này được thực hiện bằng cách sử dụng thư viện Go có tên “github.com/kbinani/screenshot”, cho phép kẻ tấn công có được thông tin trực quan về hoạt động của nạn nhân và nội dung hiển thị trên màn hình.
Quá trình trinh sát toàn diện này cho phép APT36 tùy chỉnh các cuộc tấn công tiếp theo, đồng thời các nỗ lực kết nối lại liên tục cứ sau 30 giây đảm bảo quyền truy cập liên tục cho việc đánh cắp dữ liệu.
Kỹ thuật né tránh và duy trì quyền truy cập
Việc sử dụng các payload cụ thể cho Linux và các kỹ thuật né tránh như ghi nhật ký thông qua main.junkcalc2 cho thấy ý định của nhóm này là ẩn mình trong các môi trường có tính bảo mật cao. Điều này càng làm tăng thêm thách thức trong việc phát hiện và ứng phó với các cuộc tấn công như vậy.
Ví dụ về cách binary được chạy ngầm:
nohup /tmp/client.elf > /dev/null 2>&1 &Các chỉ số thỏa hiệp (IOCs)
Dưới đây là các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến chiến dịch này:
- Nhóm đe dọa: APT36 (Transparent Tribe)
- Tên tệp ZIP độc hại: Cyber-Security-Advisory.zip
- Tên tệp .desktop độc hại: Cyber-Security-Advisory.desktop
- Tên tệp binary độc hại: BOSS.elf (lưu dưới tên client.elf)
- Máy chủ Command and Control (C2):
- Địa chỉ IP: 101.99.92.182
- Cổng: 12520
- Miền độc hại được giám sát (từ khuyến nghị): sorlastore.com
Biện pháp phòng ngừa và giảm thiểu rủi ro
Chiến dịch này đại diện cho một sự leo thang nghiêm trọng trong việc APT36 nhắm mục tiêu vào các hệ thống BOSS Linux, làm nổi bật nhu cầu cấp thiết về các biện pháp an ninh mạng mạnh mẽ. Các tổ chức, đặc biệt là trong lĩnh vực quốc phòng Ấn Độ, phải ưu tiên bảo mật email bằng cách triển khai các bộ lọc nâng cao, kiểm tra tệp đính kèm trong môi trường sandbox, và vô hiệu hóa nội dung thực thi không được xác minh.
Bảo mật Email và Nâng cao nhận thức người dùng
- Lọc email nâng cao: Triển khai các giải pháp bảo mật email có khả năng phát hiện và chặn các email lừa đảo, đặc biệt là những email chứa tệp đính kèm đáng ngờ hoặc liên kết đến các trang web độc hại.
- Kiểm tra tệp đính kèm trong Sandbox: Sử dụng các hệ thống sandbox để thực thi và phân tích tự động các tệp đính kèm email trong một môi trường an toàn, cô lập để phát hiện hành vi độc hại trước khi chúng đến tay người dùng.
- Vô hiệu hóa nội dung thực thi không xác minh: Cấu hình hệ thống để tự động chặn hoặc cảnh báo khi người dùng cố gắng mở các tệp thực thi hoặc tệp lối tắt (.desktop) từ các nguồn không đáng tin cậy.
- Đào tạo nhận thức người dùng: Huấn luyện nhân viên cách nhận biết các chiến thuật lừa đảo (phishing) và các loại tệp tin đáng ngờ. Nhấn mạnh tầm quan trọng của việc kiểm tra kỹ lưỡng các email và tệp đính kèm trước khi mở chúng.
Tăng cường bảo mật hệ thống (System Hardening)
- Hạn chế quyền thực thi: Hạn chế nghiêm ngặt quyền thực thi trong các thư mục như /tmp. Mã độc thường lợi dụng các thư mục có quyền ghi công khai để thực thi payloads. Việc giới hạn quyền có thể ngăn chặn điều này.
- Danh sách trắng ứng dụng (Application Whitelisting): Chỉ cho phép các ứng dụng đã được phê duyệt chạy trên hệ thống. Biện pháp này ngăn chặn việc thực thi các binary độc hại không mong muốn như client.elf.
- Công cụ phát hiện điểm cuối (Endpoint Detection and Response – EDR) cho Linux: Triển khai các giải pháp EDR được thiết kế đặc biệt để giám sát và phát hiện các mối đe dọa trên các hệ thống Linux. Các công cụ này có thể phát hiện hành vi bất thường, kết nối C2, và các nỗ lực duy trì quyền truy cập.
Giám sát và Tình báo mối đe dọa
- Giám sát lưu lượng truy cập ra ngoài: Liên tục giám sát lưu lượng truy cập mạng ra ngoài để phát hiện các kết nối đến các miền độc hại như sorlastore.com hoặc các địa chỉ IP C2 đã biết như 101.99.92.182.
- Tích hợp tình báo mối đe dọa: Tích hợp tình báo mối đe dọa để theo dõi các chiến thuật, kỹ thuật và quy trình (TTPs) của APT36, ánh xạ chúng vào khuôn khổ MITRE ATT&CK. Điều này giúp các tổ chức hiểu rõ hơn về cách thức hoạt động của APT36 và phát triển các biện pháp phòng thủ phù hợp.
Khi các tác nhân nhà nước tiếp tục tinh chỉnh chiến lược của họ, phòng thủ chủ động, giám sát liên tục và cập nhật kịp thời các giao thức bảo mật vẫn là những bức tường thành vững chắc nhất chống lại các mối đe dọa nguy hiểm này.
