Nhóm Earth Alux, có liên hệ với Trung Quốc, đã nhắm mục tiêu vào các tổ chức trên khắp khu vực Châu Á – Thái Bình Dương và Mỹ Latinh từ năm 2023. Nhóm này tập trung vào các lĩnh vực như chính phủ, công nghệ, logistics, sản xuất, viễn thông, dịch vụ CNTT và bán lẻ.
Malware VARGEIT
Công cụ chính mà Earth Alux sử dụng là VARGEIT, một backdoor đa giai đoạn có khả năng duy trì sự tồn tại lâu dài trong các hệ thống bị xâm phạm. VARGEIT thường được kết hợp với các công cụ khác như COBEACON và được triển khai thông qua các kỹ thuật nâng cao như DLL sideloading và timestomping.
Thông tin kỹ thuật về VARGEIT
VARGEIT hoạt động như một backdoor mô-đun với nhiều khả năng. Nó cho phép kẻ tấn công thực hiện lệnh, thu thập thông tin hệ thống và chèn thêm công cụ vào các quy trình như mspaint.exe để hoạt động không cần file. Malware này sử dụng nhiều kênh giao tiếp, bao gồm HTTP, reverse TCP/UDP, và thậm chí Microsoft Outlook qua Graph API.
Các giai đoạn tấn công
Giai đoạn ban đầu của một cuộc tấn công thường liên quan đến việc khai thác các lỗ hổng trong các máy chủ bị lộ để cài đặt web shell như GODZILLA. Từ đó, nhóm sẽ triển khai các backdoor giai đoạn đầu như COBEACON hoặc VARGEIT bằng các phương pháp như kịch bản gỡ lỗi hoặc payload mã hóa. Các giai đoạn tiếp theo sử dụng các công cụ như RAILLOAD để tải cấu hình mã hóa và RAILSETTER để duy trì qua timestomping và tác vụ theo lịch.
Biện pháp đối phó
Để đối phó với những mối đe dọa mà bộ công cụ tiên tiến của Earth Alux gây ra, các tổ chức được khuyên nên áp dụng các biện pháp an ninh mạng chủ động:
- Cập nhật và vá lỗi thường xuyên hệ thống để đóng các lỗ hổng bị khai thác trong quá trình truy cập đầu tiên.
- Giám sát hoạt động bất thường như lưu lượng mạng không mong đợi hoặc hiệu suất hệ thống giảm.
Khuyến nghị thực tiễn
1. Đảm bảo rằng tất cả các hệ thống được cập nhật và vá lỗi thường xuyên để tránh lạm dụng các lỗ hổng đã biết.
2. Thực hiện hệ thống giám sát để phát hiện hoạt động mạng bất thường hoặc vấn đề hiệu suất hệ thống có thể chỉ ra sự xâm nhập.
3. Triển khai các giải pháp an ninh mạnh mẽ bao gồm khả năng phát hiện và phản ứng điểm cuối để xác định và giảm thiểu mối đe dọa trong thời gian thực.
Thông qua việc hiểu các kỹ thuật mà Earth Alux sử dụng và triển khai các biện pháp phòng thủ mạnh mẽ này, các tổ chức có thể giảm thiểu nguy cơ trở thành nạn nhân của những cuộc tấn công tinh vi này.
