Một chiến dịch tấn công mạng gián điệp tinh vi đã được phát hiện, nhắm vào một tổ chức chính phủ trong khu vực. Các tác nhân đe dọa đã triển khai nhiều loại mã độc lây lan qua USB, trojan truy cập từ xa (RAT) và công cụ đánh cắp dữ liệu. Mục tiêu là duy trì quyền truy cập lâu dài vào các hệ thống chính phủ nhạy cảm.
Hoạt động này diễn ra từ tháng 6 đến tháng 8 năm 2025, bao gồm ba cụm hoạt động riêng biệt cùng lúc trong cùng một mạng lưới nạn nhân. Mỗi cụm cho thấy những liên kết chặt chẽ với các nhóm đe dọa đã biết.
Phân tích Chiến dịch Tấn công Mạng Gián điệp
Các nhà nghiên cứu đã xác định cả ba cụm hoạt động đồng thời trong cùng một môi trường nạn nhân. Mặc dù sử dụng các bộ công cụ khác nhau, mỗi nhóm đều theo đuổi mục tiêu chung là duy trì quyền truy cập liên tục vào mục tiêu chính phủ có giá trị cao. Sự hội tụ của ba cụm tấn công nhắm vào một mục tiêu duy nhất cho thấy một chiến dịch được tổ chức tốt và có nguồn lực mạnh.
Các Cụm Tấn Công Chính
Chiến dịch được phân chia thành ba cụm chính, mỗi cụm sử dụng một bộ công cụ riêng biệt nhưng hướng tới cùng một mục tiêu:
- Cụm thứ nhất (Stately Taurus): Sử dụng worm USB mang tên USBFect (còn được gọi là HIUPAN) để lây nhiễm backdoor PUBLOAD vào các điểm cuối của chính phủ.
- Cụm thứ hai (CL-STA-1048): Được trang bị bộ công cụ gián điệp rộng hơn, bao gồm backdoor EggStremeFuel, RAT Masol, loader EggStreme Loader, RAT Gorem và công cụ đánh cắp dữ liệu TrackBak.
- Cụm thứ ba (CL-STA-1049): Áp dụng phương pháp lén lút hơn, sử dụng loader mới được xác định là Hypnosis để triển khai RAT FluffyGh0st một cách âm thầm.
Liên Kết với Nhóm Đe Dọa Mạng
Phân tích sâu hơn cho thấy cụm CL-STA-1048 có liên kết rõ ràng với Earth Estries và chiến dịch Crimson Palace. Trong khi đó, cụm CL-STA-1049 có sự trùng lặp đáng kể với nhóm được biết đến là Unfading Sea Haze. Các mối liên hệ này cho thấy các tác nhân đe dọa có thể đang chia sẻ mục tiêu, cơ sở hạ tầng hoặc định hướng chiến lược, tất cả nhằm mục đích thu thập thông tin tình báo dài hạn từ các hoạt động của chính phủ. Chi tiết nghiên cứu về các chiến dịch gián điệp này có thể tham khảo tại Palo Alto Networks Unit 42.
Công cụ và Kỹ thuật Tấn công
Các tác nhân đe dọa đã triển khai một kho công cụ đa dạng và các kỹ thuật tinh vi để duy trì sự hiện diện và thu thập thông tin.
USBFect và PUBLOAD Backdoor
Một trong những vector tấn công nổi bật nhất là việc sử dụng worm USB để di chuyển âm thầm qua các hệ thống chính phủ được kết nối. USBFect hoạt động bằng cách theo dõi bất kỳ ổ đĩa di động mới nào được cắm vào. Sau đó, nó tự động sao chép các thành phần của mình vào ổ đĩa đó để lây lan sang máy tính được kết nối tiếp theo. Điều này làm tăng nguy cơ xâm nhập mạng trong môi trường nội bộ.
Khi được cài đặt, USBFect sẽ dàn dựng các tệp tin trong các đường dẫn bắt chước chặt chẽ các thư mục Windows và Intel hợp pháp, bao gồm:
ProgramData/Intel/_/EVENT.dllProgramData/intel/_/UsbConfig.exe
Việc này khiến việc phát hiện sớm trở nên khó khăn đối với các nhà bảo vệ khi xem xét hoạt động hệ thống tệp. Thông tin thêm về worm USB có thể tìm thấy tại Cybersecurity News.
ClaimLoader và Kỹ thuật Che giấu
Bên trong USBFect có một shellcode loader tên là ClaimLoader, được thả dưới dạng tệp DLL có tên EVENT.dll.
IOC (Chỉ số thỏa hiệp):
- SHA256:
4b29b74798a4e6538f2ba245c57be82953383dc91fe0a91b984b903d12043e92
ClaimLoader sử dụng khóa XOR để giải mã payload shellcode ẩn và sau đó chạy nó thông qua API callback CryptEnumOIDInfo. Kỹ thuật này được lựa chọn đặc biệt để vượt qua các công cụ bảo mật phổ biến. Chuỗi giải mã và thực thi hoạt động như sau:
// Pseudocode minh họa cơ chế ClaimLoader
// Bước 1: Tải DLL
LoadLibrary("EVENT.dll");
// Bước 2: Tìm địa chỉ hàm CryptEnumOIDInfo
FARPROC pCryptEnumOIDInfo = GetProcAddress(GetModuleHandle("crypt32.dll"), "CryptEnumOIDInfo");
// Bước 3: Chuẩn bị shellcode đã được mã hóa XOR
unsigned char encryptedShellcode[] = { /* ... dữ liệu đã mã hóa ... */ };
unsigned char xorKey = 0xAA; // Ví dụ khóa XOR
// Bước 4: Giải mã shellcode
for (int i = 0; i < sizeof(encryptedShellcode); i++) {
encryptedShellcode[i] ^= xorKey;
}
// Bước 5: Thực thi shellcode thông qua API callback
// (chi tiết thực thi có thể khác tùy thuộc vào phiên bản)
((void(*)(void))pCryptEnumOIDInfo)(encryptedShellcode);Hoạt động của PUBLOAD
Shellcode được thực thi là PUBLOAD, một backdoor kết nối với máy chủ command-and-control (C2) của nó qua TCP. Nó ngụy trang lưu lượng truy cập bằng một header TLS giả (17 03 03) để hòa lẫn vào luồng mạng thông thường. Một khi kết nối, PUBLOAD âm thầm thu thập thông tin hệ thống, bao gồm tên máy tính, tên người dùng và chi tiết ổ đĩa, sau đó gửi chúng về máy chủ C2 đã được mã hóa.
Mức độ ảnh hưởng và Rủi ro
Tiềm năng gây hại của chiến dịch tấn công mạng này vượt xa việc đánh cắp dữ liệu đơn thuần. Các tác nhân đe dọa đã chồng chất các công cụ keylogger, clipboard stealer, file collector và reverse shell. Điều này cho phép họ có khả năng giám sát rộng rãi các hoạt động của chính phủ, tạo ra một mối đe dọa mạng nghiêm trọng.
Mục tiêu và Khả năng Giám sát
Với mức độ truy cập liên tục này, những kẻ tấn công có thể vạch ra bản đồ các hệ thống nội bộ, giám sát liên lạc và định vị các tài liệu nhạy cảm trong một khoảng thời gian dài mà không gây ra cảnh báo rõ ràng. Điều này có thể dẫn đến rò rỉ dữ liệu nhạy cảm và mất an toàn thông tin nghiêm trọng.
Kỹ thuật che giấu của TrackBak
TrackBak, công cụ đánh cắp thông tin được triển khai bởi CL-STA-1048, đã ngụy trang thành một tệp nhật ký của Microsoft Edge. Nó âm thầm thu thập các thao tác gõ phím, nội dung clipboard, dữ liệu mạng và các tệp từ các ổ đĩa được kết nối. Đây là một ví dụ điển hình về kỹ thuật che giấu phức tạp trong các chiến dịch xâm nhập mạng.
Biện pháp Phòng ngừa và Phát hiện
Để giảm thiểu rủi ro từ các mối đe dọa mạng tương tự, các tổ chức xử lý dữ liệu chính phủ nhạy cảm cần áp dụng các biện pháp bảo mật chặt chẽ.
Kiểm soát Thiết bị Lưu trữ Di động
Vô hiệu hóa chức năng AutoRun cho các thiết bị lưu trữ di động. Đồng thời, thực thi các chính sách truy cập USB nghiêm ngặt. Điều này sẽ ngăn chặn sự lây lan ban đầu của các loại mã độc như USBFect.
Giám sát Hệ thống chủ động
Cần chủ động giám sát việc tải các DLL bất thường trong các thư mục mạo danh đường dẫn hệ thống hợp pháp. Các hệ thống phòng thủ phải được cấu hình để phát hiện các hành vi bất thường, đặc biệt là trong các đường dẫn:
ProgramData\Intel\_\ProgramData\intel\_\
Phát hiện Thực thi Shellcode và Telemetry
Áp dụng khả năng phát hiện hành vi để gắn cờ việc thực thi shellcode trong bộ nhớ. Duy trì telemetry điểm cuối được cập nhật vẫn là các bước thực tế để bắt kịp các mối đe dọa mạng này trước khi chúng có thể phân phối đầy đủ payload của mình. Việc cập nhật bản vá bảo mật thường xuyên cũng là một yếu tố quan trọng để bảo vệ hệ thống khỏi các lỗ hổng đã biết.
