Nhóm tin tặc MuddyWater mở rộng mục tiêu tấn công

.

(Không gian mạng) - Ngày 10/10, hãng bảo mật Kaspersky (Nga) báo cáo nhóm gián điệp mạng MuddyWater đang sử dụng email giả mạo (spear-phishing) nhắm vào các tổ chức tại nhiều quốc gia hơn.

hacking-advanced-persistent-threat-apt

Nhóm tin tặc MuddyWater lần đầu tiên bị phát hiện vào năm 2017, chủ yếu tập trung vào các mục tiêu chính phủ tại Iraq và Ả Rập Saudi. Việc quy kết nhóm này dường như không dễ và năm nay, hàng loạt cuộc tấn công mới đã được liên hệ đến nhóm.

Mới đây, các chuyên gia phát hiện nhóm này nhắm mục tiêu các cơ quan chính phủ, quân đội, viễn thông và giáo dục ở Jordan, Thổ Nhĩ Kỳ, Azerbaijan và Pakistan. Nhiều nạn nhân khác cũng được phát hiện ở Mali, Áo, Nga, Iran và Bahrain, các cuộc tấn công khởi điểm ở Iraq và Ả Rập Saudi thì vẫn tiếp diễn như thường.

Chiến dịch sử dụng tài liệu giả mạo mới và dựa trên phương thức kỹ thuật xã hội (social engineering) để lừa người dùng kích hoạt macro độc. Dùng mật khẩu bảo vệ để gây khó khăn cho phân tích, macro trong tài liệu độc sẽ thực thi mã VBA bị làm rối khi được kích hoạt.

Được mã hóa bằng chương trình Base64, trình tải macro độc tiến hành thả 3 tập tin vào thư mục “ProgramData” và thêm vào một bảng ghi registry trong khóa RUN (HKCU) của người dùng hiện thời, để đảm bảo việc thực thi khi người dùng đăng nhập lần tới. Đôi khi, macro sẽ khởi chạy tiến trình/trình tải độc ngay mà không cần chờ đến lần đăng nhập tiếp theo.

Cuộc tấn công này lợi dụng các thành phần thực thi hợp pháp từ Microsoft, tất cả chúng đều nằm trong danh sách trắng, vì vậy mà việc thực thi trình tải sẽ được đảm bảo. Macro độc sẽ thả hoặc là tập tin văn bản và INF, SCT, hoặc là tập tin văn bản và VBS.

Ở giai đoạn đầu, INF được khởi chạy bằng chức năng advpack.dll “LaunchINFSection” để đăng ký tài liệu SCT (scriptlet file) qua scrobj.dll (Microsoft Scriptlet library). Tiếp theo, mã JavaScript hoặc Vbscript từ tập SCT sử dụng tính năng WMI (winmgmt) để sinh ra một đoạn PowerShell ngắn nhằm hủy tập tin văn bản đó.

Vào giai đoạn 2, tập VBS sẽ giải mã chính nó và gọi lệnh mshta.exe. Một dòng trong mã VBScript được chuyển đến mshta sẽ sinh ra một dòng lệnh PowerShell để hủy tập tin văn bản.

Dòng lệnh PowerShell đọc tài liệu văn bản được mã hóa thả vào ProgramData và giải nó sang đoạn mã được làm rối.

Mã code này sẽ tắt chế độ Macro Warnings và Protected View của Office, để đảm bảo các cuộc tấn công sau này có thể diễn ra mà không cần tương tác người dùng. Nó cũng kiểm tra các chương trình đang chạy chống lại một danh sách được hardcode và khởi động lại máy nếu phát hiện thấy bất kỳ đối thủ nào.

Để liên lạc với máy chủ điều khiển và ra lệnh (C&C), mã code chọn ngẫu nhiên một đường dẫn (URL) từ danh sách. Nếu kết nối thất bại, nó sẽ cố gắng kết nối với một URL ngẫu nhiên khác từ danh sách đó, mỗi lần kết nối nghỉ nhịp 30 giây và vòng lặp cứ tiếp tục như vậy.

Một khi bị lây nhiễm, mã độc sẽ cố gắng chiếm IP công cộng của nạn nhân và gửi thông tin cùng với phiên bản OS, IP nội bộ, tên máy tính, tên miền và tên người dùng về máy chủ C&C, cho phép tin tặc chọn lọc nạn nhân.

Dựa vào lệnh nhận từ máy chủ C&C, mã độc có thể tiến hành chụp ảnh màn hình, truy hồi một giai đoạn khác của lệnh PowerShell thực thi qua Excel, Outlook hay Explore.exe, tải tập tin từ máy chủ C&C và lưu chúng vào thư mục ProgramData, phá hủy ổ đĩa C, D, E, F và sau đó khởi động lại hệ thống, hay đơn giản là khởi động lại hoặc tắt máy.

Hầu hết nạn nhân của nhóm tin tặc này đều ở Jordan, Thổ Nhĩ Kỳ, Iraq, Pakistan, Ả Rập Saudi, Afghanistan và Azerbaijan, tuy nhiên Nga, Iran, Bahrain, Áo và Mali cũng bị ảnh hưởng. Kaspersky lưu ý, chiến dịch này có động cơ địa chính trị khi nhắm đến các tổ chức và cá nhân nhạy cảm.

“Nhóm MuddyWaters từng triển khai hàng loạt chiến dịch mạng và cho thấy khả năng social engineering cao, ngoài việc tích cực phát triển khả năng tấn công, cơ sở hạ tầng và sử dụng các phương thức, kỹ thuật mới. Những tin tặc này cũng đang tích cực cải thiện công cụ của chúng nhằm giảm thiểu tối đa việc bị các sản phẩm và dịch vụ bảo mật phát hiện”, Kaspersky kết luận.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Xem thêm: An ninh quốc phòng, Tin nóng trong ngày, Chỉ đạo của Thủ tướng
Theo dõi Thủ tướng qua Facebook
Thích và chia sẻ bài này trên:
Tweet
Tags: an ninh mạng, tấn công mạng, tin tặc
Nguồn: nguyenxuanphuc.org