Hacker Trung Quốc dùng ransomware làm mồi nhử che giấu hoạt động gián điệp mạng

Hai nhóm hacker của Trung Quốc đang thực hiện các chiến dịch gián điệp mạng và đánh cắp tài sản trí tuệ từ các công ty Nhật Bản và phương Tây. Để che đậy hành vi gián điệp, các nhóm hacker này vờ như chúng đang phát tán ransomware.

Các nhà phân tích mối đe dọa từ Secureworks chia sẻ rằng hacker sử dụng ransomware trong các hoạt động gián điệp để xóa đi dấu vết của chúng và tạo ra sự phân tâm cho các nhân viên xử lý sự cố an ninh mạng.

Cuối cùng, việc đánh cắp các bí mật kinh doanh được ngụy trang dưới dạng các cuộc tấn công tống tiền.

Các chiến dịch ransomware kỳ lạ

Hai chiến dịch hack được Secureworks phân tích là "Bronze Riverside" (do nhóm hacker ATP41 tiến hành) và "Bronze Starlight" (ATP10), cả hai đều sử dụng HUI Loader để triển khai các trojan truy cập từ xa là PlugX, Cobalt Strike và QuasarRAT.

Bắt đầu từ tháng 3/2022, "Bronze Starlight" đã tận dụng Cobalt Strike để triển khai các chúng ransomware như LockFile, AtomSilo, Rook, Night Sky và Pandora.

Trong các cuộc tấn công này, hacker dùng phiên bản mới của HUI Loader với khả năng kết nối các lệnh gọi API Windows và khả năng vô hiệu hóa tính năng Event Tracing for Windows (ETW) và Antimalware Scan Interface (AMSI).

Cấu hình Cobalt Strike cho ba ransomware riêng biệt là AtomSilo, Night Sky và Pandora tiết lộ một địa chỉ C2 (máy chủ Command & Control) dùng chung. Ngoài ra, trong năm nay cũng nguồn đó đã tải lên HUI Loader trên Virus Total.

Máy chủ C2 chung
Máy chủ C2 chung

Cách thức hoạt động và nạn nhân của LockFile, AtomSilo, Rook, Night Sky và Pandora rất bất thường so với các chiến dịch ransomware có động cơ tài chính thuần túy. Thường thì chúng nhắm vào số lượng nhỏ nạn nhân trong thời gian ngắn và sau đó bất ngờ từ bỏ chiến dịch.

Các chiến dịch diễn ra trong thời gian ngắn, quy mô nhỏ
Các chiến dịch diễn ra trong thời gian ngắn, quy mô nhỏ

Secureworks còn nhận ra có sự trùng lặp code giữa Pandora và HUI Loader do vậy kết nối lỏng lẻo này có thể trỏ đến một nhóm chung.

LockFile và AtomSilo trông cũng rất giống nhau trong khi Night Sky, Pandora và Rook đều được xây dựng từ mã nguồn của Babuk và cũng có nhiều điểm tương đồng trong code.

Các ransomware có rất nhiều điểm chung
Các ransomware có rất nhiều điểm chung

5 chiến dịch ransomware này không để lại dấu ấn gì trong cộng đồng tội phạm mạng và chưa bao giờ thực sự trở thành một mối đe dọa đáng kể. Ngoài ra, tất cả chúng đều sớm bị từ bỏ.

Vì thế, có thể nói "Bronze Starlight" đang tạo ra các chủng ransomware tồn tại trong thời gian ngắn để che giấu các hoạt động gián điệp mạng, ngụy trang như một cuộc tấn công ransomware.

Để đối phó, Secureworks khuyến cáo các tổ chức, doanh nghiệp nên tăng cường các cơ chế bảo vệ và phát hiện ransomware. Đồng thời, khi phát hiện ransomware, các tổ chức, doanh nghiệp nên kiểm tra kỹ lưỡng các khía cạnh khác song song với việc loại bỏ ransomware.

Thứ Sáu, 01/07/2022 08:01
51 👨 542
1 Bình luận
Sắp xếp theo
  • Chí Văn
    Chí Văn

    File âm thanh lại bị lỗi rồi ad ơi :>

    Thích Phản hồi 19:27 30/06
    • MOD
      MOD

      Cảm ơn bạn, file đã được fix 😁

      Thích Phản hồi 08:02 01/07