Nhóm đe dọa dai dẳng có tổ chức (APT Group) APT36, còn được biết đến với tên gọi Transparent Tribe, tiếp tục là một mối lo ngại lớn trong không gian an ninh mạng. Nhóm này nổi tiếng với các hoạt động tấn công mạng phức tạp và có mục tiêu rõ ràng, chủ yếu nhắm vào các thực thể ở khu vực Nam Á.
Trong các chiến dịch gần đây, APT36 đã triển khai một bộ công cụ độc hại tinh vi, bao gồm các họ mã độc và công cụ chuyên biệt. Ban đầu, nhóm này sử dụng Poseidon như một trình tải (loader) để khởi tạo các giai đoạn tấn công. Tuy nhiên, theo thời gian, Poseidon đã được thay thế bằng các công cụ khác, phản ánh sự phát triển và thích nghi liên tục trong kho vũ khí của APT36. Một trong những công cụ nổi bật mà nhóm này đã sử dụng là Ares RAT framework. Ares RAT là một công cụ truy cập từ xa (Remote Access Trojan) được thiết kế theo cấu trúc mô-đun, mang lại khả năng tùy biến cao và đặc biệt khó bị phát hiện do các kỹ thuật né tránh tiên tiến. Tính mô-đun cho phép Ares RAT có thể được cấu hình để thực hiện nhiều chức năng khác nhau, từ thu thập thông tin nhạy cảm đến duy trì quyền truy cập dai dẳng vào hệ thống bị xâm nhập, điều này làm tăng đáng kể mức độ nguy hiểm của nó.
Các nền tảng và mục tiêu bị khai thác bởi APT36 cho thấy một chiến lược tấn công có trọng tâm, nhằm vào các lĩnh vực nhạy cảm và quan trọng của Ấn Độ. Các mục tiêu chính bao gồm:
- Cán bộ quốc phòng Ấn Độ: Nhằm vào các cá nhân trong lực lượng vũ trang để thu thập thông tin tình báo hoặc giành quyền truy cập vào các hệ thống liên quan.
- Lĩnh vực quốc phòng Ấn Độ: Bao gồm các cơ quan, tổ chức liên quan đến an ninh quốc phòng.
- Các cơ quan chính phủ: Nhằm vào các tổ chức hành chính nhà nước để lấy cắp dữ liệu hoặc gây gián đoạn hoạt động.
- Các tổ chức giáo dục: Thường được sử dụng làm bàn đạp hoặc để thu thập thông tin về nghiên cứu và phát triển.
- Thông tin xác thực của Trung tâm Tin học Quốc gia Ấn Độ (NIC): Đây là một mục tiêu đặc biệt quan trọng vì NIC quản lý cơ sở hạ tầng công nghệ thông tin cho chính phủ Ấn Độ, bao gồm các cổng thông tin, email và dịch vụ web. Việc chiếm đoạt thông tin xác thực NIC có thể mở ra cánh cửa tiếp cận sâu rộng vào mạng lưới chính phủ.
Để đạt được các mục tiêu này, APT36 đã sử dụng một loạt các kỹ thuật, chiến thuật và thủ tục (TTPs) tinh vi:
- Email lừa đảo Spear-phishing: Các email này được ngụy trang cẩn thận để trông giống như thư tín chính thức từ NIC, tạo dựng sự tin cậy để lừa dối nạn nhân mở tệp đính kèm hoặc nhấp vào liên kết độc hại.
- Sử dụng tài liệu mồi nhử (decoy documents): Nhóm này khai thác các sự kiện quốc gia nổi bật để tạo ra các tên tệp tài liệu giả mạo thu hút sự chú ý. Ví dụ, việc sử dụng tên tệp như “Action Points & Response by Govt Regarding Pahalgam Terror Attack.pdf” cho thấy khả năng khai thác tâm lý và tình cảm của nạn nhân liên quan đến các sự kiện thời sự nóng hổi.
- Tệp đính kèm độc hại: Các tệp này thường có phần mở rộng đặc biệt như
.xlam(tệp bổ trợ Excel),.ppam(tệp bổ trợ PowerPoint), hoặc.pptx.lnk(tệp phím tắt). Chúng chứa các tải trọng được kích hoạt bằng macro hoặc các phím tắt độc hại được thiết kế để thực thi mã khi người dùng tương tác, từ đó cài đặt mã độc vào hệ thống. - Cổng thông tin đăng nhập giả mạo: Nhóm này tạo ra các trang web đăng nhập giả mạo bắt chước các miền của chính phủ Ấn Độ, ví dụ như
jkpolice.gov.in. Mục tiêu là lừa người dùng nhập thông tin xác thực của họ vào các trang này, cho phép kẻ tấn công thu thập chúng. - Kỹ thuật xã hội (Social engineering): APT36 đặc biệt khéo léo trong việc khai thác các yếu tố cảm xúc, đặc biệt là những yếu tố liên quan đến các sự kiện địa chính trị. Bằng cách lợi dụng sự tò mò, lo lắng hoặc quan tâm của nạn nhân đối với các vấn đề thời sự, nhóm này tăng cường hiệu quả của các chiến dịch lừa đảo.
Chiến dịch tấn công này được biết đến với tên gọi Operation Sindoor, phản ánh tính chất có tổ chức và kéo dài của các hoạt động của APT36. Mức độ liên quan đến các hoạt động hacktivist hoặc các hashtag công khai như #OpIndia và #OperationSindoor cho thấy một nỗ lực nhằm tạo ra tiếng vang hoặc liên kết các hoạt động của nhóm với các phong trào lớn hơn, mặc dù mục tiêu cốt lõi vẫn là gián điệp mạng.
Cơ sở hạ tầng được APT36 sử dụng để hỗ trợ các hoạt động của mình cũng cho thấy sự phức tạp và khả năng phân tán. Các chi tiết về cơ sở hạ tầng bao gồm:
- Các miền độc hại: Những miền này được sử dụng cho các giao tiếp lệnh và kiểm soát (Command-and-Control – C2), cho phép kẻ tấn công điều khiển mã độc và nhận dữ liệu từ các hệ thống bị xâm nhập.
- Các miền giả mạo hợp pháp của Ấn Độ: Được sử dụng để phân phối tải trọng độc hại và duy trì liên lạc C2, chúng được thiết kế để đánh lừa nạn nhân và các hệ thống phòng thủ mạng về nguồn gốc của hoạt động độc hại.
- Máy chủ lệnh và kiểm soát (C2): Các máy chủ này được lưu trữ trên các máy chủ riêng ảo (VPS) ở nhiều quốc gia khác nhau, bao gồm Nga, Đức, Indonesia và Singapore. Việc phân tán máy chủ C2 trên nhiều địa điểm giúp APT36 khó bị theo dõi và gỡ bỏ, đồng thời tăng khả năng phục hồi của cơ sở hạ tầng độc hại.
Các Indicators of Compromise (IOCs) liên quan đến chiến dịch này bao gồm các miền độc hại đã được xác định được sử dụng cho mục đích C2 hoặc phân phối mã độc:
fogomyart[.]comnationaldefensecollege[.]comzohidsindia[.]com
Việc hiểu rõ về các TTPs, cơ sở hạ tầng và các công cụ của APT36 là rất quan trọng để các tổ chức có thể xây dựng các biện pháp phòng thủ hiệu quả. Điều này đòi hỏi một chiến lược bảo mật đa lớp, bao gồm việc tăng cường nhận thức về lừa đảo, triển khai các giải pháp bảo mật điểm cuối và mạng tiên tiến, và thường xuyên cập nhật thông tin về các mối đe dọa mới nhất từ các nhóm APT như Transparent Tribe.
