Bài viết từ Cybersecurity News bàn về chiến dịch gián điệp mạng tinh vi của nhóm APT RedCurl, nhắm vào các công ty luật và tổ chức doanh nghiệp. Dưới đây là những điểm chính từ bài viết:
- Vector Tấn công:
- Các kẻ tấn công sử dụng chuỗi tấn công nhiều giai đoạn bắt đầu bằng phishing. Vector truy cập ban đầu liên quan đến một tài liệu PDF giả mạo chủ đề Indeed chứa các liên kết tới một tập tin zip với một tệp ISO có thể gán được.
- Thực thi Malware:
- Khi mở tệp ISO đã gán, nạn nhân thấy một tệp SCR duy nhất được nguỵ trang như một đơn xin việc. Tệp này thực chất là một tệp thực thi Adobe hợp lệ đã được ký (ADNotificationManager.exe), khi được thực thi, nó khởi động chuỗi tấn công bằng cách side-load trình tải EarthKapre (netutils.dll).
- Nhận diện và Thu thập Dữ liệu:
- Để nhận diện và thu thập dữ liệu, RedCurl triển khai một tệp batch để thu thập thông tin về tài khoản người dùng, phần mềm đã cài đặt, cấu hình hệ thống và tài nguyên mạng. Đáng chú ý, họ sử dụng Sysinternals Active Directory Explorer để thực hiện việc liệt kê miền.
- Xuất dữ liệu:
- Các kẻ tấn công sử dụng 7-Zip để nén và bảo vệ bằng mật khẩu dữ liệu thu thập được. Việc xuất dữ liệu cuối cùng diễn ra qua các yêu cầu PowerShell PUT tới một nhà cung cấp lưu trữ đám mây, Tab Digital.
- Giao tiếp Command and Control (C2):
- Mỗi giai đoạn của cuộc tấn công giao tiếp với các máy chủ chỉ huy và kiểm soát được lưu trữ trên hạ tầng Cloudflare Workers, lấy các payload tiếp theo và xuất dữ liệu bị đánh cắp.
- Tinh vi của cuộc tấn công:
- Chiến dịch này sử dụng các kỹ thuật mã hóa chuỗi tinh vi, áp dụng các API bcrypt.dll để tạo ra các hàm băm SHA256 cho việc phát sinh khóa AES, khiến các hoạt động này khó phát hiện bằng các biện pháp an ninh thông thường.
Phân tích chi tiết này nhấn mạnh tính chất tinh vi của các cuộc tấn công của nhóm APT RedCurl, nhấn mạnh sự cần thiết của các chiến lược phát hiện và giảm thiểu tiên tiến để đối phó với những mối đe dọa như vậy.
