Phát hiện nhóm hacker Ngạo Cầm Long âm thầm tấn công Việt Nam và các nước trong khu vực

Hãng nghiên cứu bảo mật SentinelLabs vừa tìm ra danh tính nhóm hacker Trung Quốc có liên quan tới các hoạt động tấn công mạng từ năm 2013. Có tên Ngạo Cầm Long (Aoquin Dragon), nhóm hacker này chuyên triển khai các cuộc tấn công gián điệp mạng nhắm vào các tổ chức chính phủ, giáo dụng và viễn thông tại Singapore, Hồng Kông, Việt Nam, Campuchia và Úc.

Trong nhiều năm qua, kỹ thuật của nhóm hacker này đã được phát triển và nâng cấp đáng kể nhưng một số chiến thuật và kiểu tấn công vẫn không thay đổi.

Các chiến thuật xâm nhập và lây nhiễm

Kể từ khi bị phát hiện lần đầu tiên tới nay Ngạo Cầm Long sử dụng ba chuỗi lây nhiễm riêng biệt. Phương thức đầu tiên được sử dụng từ năm 2012 tới năm 2015, liên quan tới các tài liệu Microsoft Office, tập trung vào việc khai thác các lỗ hổng đã biết như CVE-2012-0158, CVE-2010-3333.

Chiến thuật này đã được FireEye phát hiện vào năm 2014 trong một chiến dịch lừa đảo trực tuyến do nhóm hacker Naikon APT của Trung Quốc thực hiện. Chiến dịch này nhắm vào các chính phủ trong khu vực Châu Á - Thái Bình Dương và một tổ chức tư vấn của Mỹ.

Phương pháp lây nhiễm thứ hai là cho các tệp thực thi độc hại đội lốt phần mềm diệt virus. Chúng lừa người dùng khởi chạy các tệp đó và kích hoạt mã độc trên thiết bị của họ.

Từ năm 2018 cho tới nay, Ngạo Cầm Long đã chuển sang sử dụng một tệp shortcut trên ổ đĩa di động, khi được nhấp vào nó sẽ thực hiện chiếm quyền điều khiển DLL và tải vào máy một payload backdoor đã được mã hóa.

Mã độc đó sẽ chạy dưới cái tên "Evernote Tray Application" và thực thi khi hệ thống khởi động. Nếu trình tải phát hiện ra các thiết bị gắn ngoài nó cũng sẽ sao chép payload sang đó để lây nhiễm ra các thiết bị khác trong mạng của nạn nhân.

Phát hiện nhóm hacker Ngạo Cầm Long âm thầm tấn công Việt Nam và các nước trong khu vực

Bộ công cụ của Ngạo Cầm Long

SentinelLabs xác định được hai backdoor khác nhau được Ngạo Cầm Long sử dụng. Một backdoor tên là Mongall và backdoor còn lại là phiên bản sửa đổi của Heyoka. Cả hai đều là dạng DLL được đưa vào bộ nhớ, được giải mã và thực thi.

Mongall được phát triển ít nhất là từ năm 2013 và các phiên bản gần đây nhất đã được nâng cấp giao thức mã hóa. Kỹ thuật đóng gói Themida cũng được áp dụng để bảo vệ Mongall khỏi các kỹ thuật đảo ngược.

Mục đích chủ yếu của nó là lập hồ sơ host và gửi thông tin chi tiết về máy chủ C2 (Command & Control) bằng kênh được mã hóa. Nhưng ngoài ra nó cũng có khả năng thực hiện các hành động liên quan tới tệp và thực thi shell.

Trong khi đó, Heyoka là một công cụ lọc mã nguồn mở sử dụng các yêu cầu DNS giả mạo để tạo một hành lang giao tiếp hai chiều.

Hacker thường sử dụng công cụ này khi sao chép tệp từ các thiết bị bị xâm nhập để khiến quản trị viên khó phát hiện ra hoạt động ăn cắp dữ liệu.

Những kẻ đứng đằng sau Ngạo Cầm Long đã sửa đổi Heyoka để tạo ra một backdoor tùy chỉnh với sự hỗ trợ cho các lệnh sau:

  • open a shell
  • get host drive information
  • search file function
  • input data in an exit file
  • create a file
  • create a process
  • get all process information in this host
  • kill process
  • create a folder
  • delete file or folder

Công cụ exfil cũng đi kèm với hai địa chủ máy chủ C2 được mã hóa cứng để dự phòng. Thế nhưng máy chủ C2 đó cũng được dùng bởi backdoor Mongall, một sự chồng chéo trong cơ sở hạ tầng chính của nhóm.

Ngạo Cầm Long đã luôn cố gắng phát triển các kỹ thuật của họ và thay đổi chiến thuật liên tục. Nhờ vậy, nhóm hacker này đã âm thầm hoạt động trong bóng tối cả thập kỷ vừa qua. Nhiều khả năng, sau báo cáo của SentinelLabs, nhóm hacker này sẽ tiếp tục cải thiện khả năng tránh bị phát hiện và chuyển sang các chiến thuật lẩn trốn mới.

Thứ Sáu, 10/06/2022 14:46
53 👨 2.444
0 Bình luận
Sắp xếp theo