Arctic Wolf Labs đã phát hiện một chiến dịch tấn công mạng gián điệp mạng tinh vi được cho là do nhóm tác chiến nâng cao dai dẳng (APT) Dropping Elephant, còn được biết đến với tên Patchwork hoặc Quilted Tiger, thực hiện. Chiến dịch này tập trung vào các nhà thầu quốc phòng Thổ Nhĩ Kỳ chuyên về hệ thống tên lửa dẫn đường chính xác, cho thấy một mối đe dọa nghiêm trọng đối với an ninh mạng trong khu vực.
Tổng quan về Chiến dịch Dropping Elephant: Một Mối Đe Dọa Gián điệp Mạng
Chiến dịch bắt đầu hoạt động tích cực từ tháng 7 năm 2025, sử dụng một chuỗi thực thi gồm năm giai đoạn, khởi phát thông qua các email lừa đảo spear-phishing. Các email này chứa các tệp LNK độc hại giả mạo thư mời tham dự “Hội nghị Hệ thống Phương tiện Không người lái 2025” (Unmanned Vehicle Systems Conference 2025) tại Istanbul. Thời điểm của cuộc tấn công mạng trùng khớp với sự gia tăng hợp tác quốc phòng giữa Thổ Nhĩ Kỳ và Pakistan, cùng với những căng thẳng quân sự leo thang giữa Ấn Độ và Pakistan. Điều này cho thấy đây là một nỗ lực có động cơ địa chính trị nhằm thu thập thông tin tình báo chiến lược về các công nghệ tương thích với NATO và năng lực tên lửa siêu thanh.
Chuỗi Tấn công và Kỹ thuật Khai thác
Giai đoạn Khởi phát và Lừa đảo
Các email lừa đảo tận dụng các tệp nhị phân hợp pháp như VLC Media Player và Microsoft Task Scheduler để thực hiện kỹ thuật tránh né phòng thủ thông qua DLL side-loading. Đây là một sự phát triển đáng chú ý từ các biến thể DLL x64 trước đây của nhóm được quan sát vào tháng 11 năm 2024, chuyển sang các tệp thực thi PE x86 được tối ưu hóa với cấu trúc lệnh tinh gọn hơn và ít phụ thuộc vào thư viện hơn. Điều này thể hiện sự cải thiện trong khả năng tránh né và hiệu quả hoạt động của nhóm Dropping Elephant trong các chiến dịch tấn công mạng.
Trong chuỗi tấn công, tệp LNK độc hại kích hoạt một script PowerShell. Script này sau đó tải xuống năm thành phần từ tên miền expouav[.]org, được đăng ký vào ngày 25 tháng 6 năm 2025, giả mạo trang web hội nghị hợp pháp waset.org.
Cơ chế DLL Side-loading và Phát tán Mã độc
Năm thành phần được tải xuống bao gồm:
- Một tệp PDF đánh lừa (decoy PDF) để đánh lạc hướng người dùng.
- Một tệp thực thi VLC hợp pháp được đổi tên thành
vlc.exe. - Một DLL độc hại (
libvlc.dll) để tải shellcode. - Một tệp Microsoft Task Scheduler được đổi tên (
Winver.exe). - Shellcode đã được mã hóa được lưu dưới dạng
vlc.log.
Quá trình này thiết lập cơ chế duy trì truy cập thông qua một tác vụ đã lên lịch (scheduled task) có tên “NewErrorReport”. Tác vụ này thực thi vlc.exe để thực hiện side-load libvlc.dll. DLL này sau đó giải mã shellcode bằng cách sử dụng một khóa cứng (hardcoded key) là 76bhu93FGRjZX5hj876bhu93FGRjX5. Đây là một bước quan trọng trong chuỗi lây nhiễm, cho phép mã độc hoạt động mà không bị phát hiện bởi các giải pháp an ninh thông thường.
Cơ chế Duy trì Truy cập và Thu thập Thông tin
Duy trì Truy cập (Persistence)
Việc sử dụng scheduled task với tên “NewErrorReport” đảm bảo rằng mã độc sẽ được thực thi mỗi khi hệ thống khởi động hoặc theo một lịch trình định sẵn, giúp duy trì quyền kiểm soát trên hệ thống bị xâm nhập. Đây là một kỹ thuật phổ biến trong các chiến dịch tấn công mạng dai dẳng.
Thu thập và Trích xuất Dữ liệu
Payload PE x86 đã giải mã, với SHA-256 là 8b6acc087e403b913254dd7d99f09136dc54fa45cf3029a8566151120d34d1c2, thực hiện trinh sát bằng cách tạo một mutex có tên ghjghkj. Payload này thu thập các chi tiết hệ thống như tên máy tính và tên người dùng, truy vấn các tính năng firmware và bộ xử lý để tránh né sandbox, và chụp ảnh màn hình để trích xuất dữ liệu.
Giao tiếp mạng của mã độc được ngụy trang bằng cách trộn lẫn với lưu lượng truy cập hợp pháp, sử dụng User-Agent Mozilla/5.0. Mã độc truy vấn các dịch vụ bên ngoài để định vị địa lý IP trước khi báo cáo về máy chủ Command-and-Control (C2) roseserve[.]org, được đăng ký vào ngày 23 tháng 6 năm 2025. Máy chủ C2 này giả mạo dự án Pardus Linux của Thổ Nhĩ Kỳ và được lưu trữ trên cơ sở hạ tầng của U.S./GB, có liên quan đến nhà cung cấp VPS Avanetco của Iran. Việc ngụy trang C2 qua các dịch vụ hợp pháp làm tăng thêm sự phức tạp trong quá trình phát hiện xâm nhập của các cuộc tấn công mạng.
Nâng cao Khả năng Hoạt động của Dropping Elephant
So với các phiên bản trước, biến thể này thể hiện khả năng bảo mật hoạt động (operational security – OPSEC) được nâng cao thông qua các thay đổi kiến trúc, sử dụng mã thô để phân tích cú pháp C2 bằng strtok() với dấu phân cách ‘$’. Các lệnh C2 bao gồm: “3SC3” để chụp ảnh màn hình, “3gjdfghj6” để thực thi cmd.exe, và “3APC3” để tiêm shellcode bằng cách sử dụng QueueUserAPC. Điều này cho thấy sự tinh vi ngày càng tăng của nhóm APT Dropping Elephant trong các chiến dịch tấn công mạng.
Phân tích cơ sở hạ tầng cho thấy thời gian chuẩn bị hai tháng, với roseserve[.]org ban đầu giả mạo một hãng tin Thổ Nhĩ Kỳ trước khi chuyển sang vỏ bọc Pardus. Điều này nhấn mạnh nhận thức văn hóa của nhóm và việc sử dụng các tệp nhị phân có sẵn trên hệ thống (living-off-the-land binaries – LOLBAS) như Pester.bat để tránh né. Sự phát triển này khẳng định Dropping Elephant đã chuyển sang các công cụ tối ưu hóa, tập trung vào gián điệp, nhắm mục tiêu vào các tổ chức toàn cầu trong lĩnh vực quốc phòng, năng lượng và chính phủ với độ chính xác cao trong kỹ thuật xã hội.
Các Chỉ số Thỏa hiệp (IoCs)
Các tổ chức có thể sử dụng các chỉ số thỏa hiệp sau để phát hiện xâm nhập và bảo vệ hệ thống của mình:
- Tên miền độc hại (Malicious Domains):
expouav[.]orgroseserve[.]org
- SHA-256 của Payload:
8b6acc087e403b913254dd7d99f09136dc54fa45cf3029a8566151120d34d1c2
- Tên Mutex:
ghjghkj
- Khóa giải mã Shellcode (Hardcoded Key):
76bhu93FGRjZX5hj876bhu93FGRjX5
- User-Agent:
Mozilla/5.0
- Tên Scheduled Task:
NewErrorReport
- Các lệnh C2 chính:
3SC3(chụp ảnh màn hình)3gjdfghj6(thực thi cmd.exe)3APC3(tiêm shellcode bằng QueueUserAPC)
Biện pháp Phòng ngừa và Giảm thiểu Rủi ro đối với An ninh Mạng
Arctic Wolf đã tích hợp các cơ chế phát hiện mới vào Nền tảng Aurora của họ để đối phó với các chiến thuật này, nhấn mạnh các biện pháp chủ động. Để giảm thiểu mối đe dọa từ các chiến dịch như Dropping Elephant, các tổ chức trong lĩnh vực quốc phòng cần ưu tiên:
- Giáo dục người dùng: Nâng cao nhận thức về các mối nguy hiểm từ spear-phishing.
- Phân đoạn mạng: Áp dụng nguyên tắc đặc quyền tối thiểu (least privilege principles).
- Cập nhật bản vá định kỳ: Đảm bảo tất cả hệ thống đều được cập nhật các bản vá bảo mật mới nhất.
- Giải pháp EDR (Endpoint Detection and Response): Triển khai và duy trì các hệ thống phát hiện và phản hồi điểm cuối hiệu quả.
- Thông tin tình báo mối đe dọa (CTI) theo ngữ cảnh: Sử dụng CTI để dự đoán và đối phó với các cuộc tấn công mạng có động cơ địa chính trị.
- Cổng email bảo mật (Secure Email Gateways): Triển khai các giải pháp chặn email lừa đảo và chứa mã độc.
- Windows Defender Application Control (WDAC): Sử dụng WDAC để chặn các tệp LOLBAS không mong muốn.
- Dịch vụ MDR (Managed Detection and Response): Cân nhắc sử dụng dịch vụ MDR để giám sát 24/7.
Việc áp dụng các biện pháp này là cần thiết để tăng cường an ninh mạng và bảo vệ các hệ thống trọng yếu khỏi các cuộc tấn công mạng tinh vi.
