Chủ đề

(Không gian mạng) - Ngày 28/02, hãng bảo mật Symantec cảnh báo, nhóm gián điệp mạng Chafer (Iran) đã mở rộng danh sách mục tiêu của mình trong Trung Đông và vùng lân cận, cũng như thêm nhiều công cụ mới vào kho vũ khí mạng của mình.

powerstation

Năm 2017, Chafer đã gây ra một loạt các cuộc tấn công mới mạnh mẽ, nhắm mục tiêu vào những công ty viễn thông ở Trung Đông. Nhóm này cũng đã cố gắng tấn công một hãng đặt chỗ du lịch quốc tế lớn. Chafer hoạt động ít nhất từ tháng 07/2014 và được báo cáo chi tiết vài năm về trước, nhóm chủ yếu tập trung vào hoạt động giám sát và theo dõi các cá nhân riêng lẻ.

Trong suốt năm 2017, Chafer đã sử dụng 7 công cụ mã độc mới với cơ sở hạ tầng mới và tấn công 9 tổ chức mới ở Israel, Jordan, Các Tiểu vương quốc Ả Rập Thống Nhất, Ả Rập Saudi và Thổ Nhĩ Kỳ. Mục tiêu bao gồm các hãng hàng không, dịch vụ máy bay, công ty CNTT và phần mềm phục vụ trong ngành hàng không và vận tải biển, viễn thông, dịch vụ tính lương, tư vấn kỹ thuật và các công ty phần mềm quản lý tài liệu.

Theo báo cáo mới này của Symantec, nhóm này còn nhắm mục tiêu một hãng hàng không Châu Phi để xâm nhập vào một công ty đặt chỗ du lịch quốc tế.

Năm 2017, Chafer đã tấn công một nhà cung cấp dịch vụ viễn thông ở Trung Đông, một công ty chuyên bán các giải pháp cho nhiều nhà khai thác viễn thông trong khu vực. Vụ tấn công này có khả năng đã cho phép tin tặc giám sát số lượng lớn người dùng cuối.

Ngoài những mã độc đã được biết đến, báo cáo mới đây cho biết Chafer đã sử dụng thêm 7 công cụ mã độc mới bên cạnh các mã độc của nhóm, hầu hết chúng đều có sẵn và được bày bán tự do, bao gồm: mã độc Remcom, một mã nguồn mở thay thế cho công cụ dòng lệnh PsExec; Non-sucking Service Manager (NSSM), mã nguồn mở thay thế cho công cụ Windows Service Manager; công cụ chụp màn hình và bộ nhớ tạm tùy chỉnh; công cụ hack SMB (có khả năng khai thác lỗ hổng EternalBlue); ứng dụng giao thức GNU HTTPTunnel; công cụ mã nguồn mở để tạo ra đường hầm hai chiều qua giao thức HTTP trên các máy Linux; UltraVNC, công cụ quản trị từ xa mã nguồn mở dành cho Windows; NBTScan, một công cụ miễn phí để dò quét hệ thống mạng IP nhằm lấy thông tin tên giao thức NetBIOS.

Ngoài ra, nhóm này vẫn tiếp tục sử dụng những công cụ như backdoor tùy chỉnh của nhóm là Remexi, PsExec, Mimikatz, Pwdump, và Plink.

Chafer dường như đã kết hợp các công cụ này để vượt qua hệ thống mục tiêu. NSSM được thả vào hệ thống để giúp duy trì sự hiện diện và cài đặt một dịch vụ để chạy Plink, và chính dịch vụ này sẽ giúp mở ra một phiên SSH đảo ngược cho phép RDP chiếm quyền truy cập vào máy bị lây nhiễm. Sau đó, những công cụ tấn công PsExec, Remcom, và SMB sẽ được sử dụng cho bước tiếp theo.

Cơ sở hạ tầng mới được sử dụng trong chiến dịch mới này gồm tên miền win7-updates[.]com, đóng vai trò một địa chỉ điều lệnh C&C, cùng với nhiều địa chỉ IP, dù Symantec không rõ những IP này là được thuê hay do nhóm chiếm được. Trên một máy chủ dàn dựng mà tin tặc sử dụng, các nhà nghiên cứu tìm thấy nhiều bản sao công cụ mã độc của Chafer.

Theo Symantec, hoạt động của Chafer có một vài liên kết với nhóm gián điệp mạng Oilrig (Iran). Cả 2 nhóm này đều sử dụng một địa chỉ IP C&C, cũng như cách thức lây nhiễm tương tự nhau, đó là dùng tài liệu Excel để thả tập tin VBS độc hại tham chiếu đến đường dẫn tập tin sai chính tả giống nhau.

Tuy nhiên, hiện vẫn chưa có đủ bằng chứng để chứng minh cho giả thiết này này. Các nhà nghiên cứu Symantec cho rằng, khả năng cao là 2 nhóm này biết và cùng chia sẻ bộ công cụ tấn công với nhau.

Hoạt động của nhóm Chafer gần đây cho thấy nhóm không chỉ duy trì hoạt động tích cực, mà còn trở nên táo bạo hơn trong việc chọn mục tiêu. Tương tự nhiều nhóm tin tặc khác, Chafer dựa vào các công cụ phần mềm có sẵn, và triển khai các cuộc tấn công theo chuỗi, một dạng tốn nhiều thời gian và dễ bị phát hiện. Symantec kết luận: “Những chiến dịch kiểu này mang nhiều rủi ro hơn, nhưng cũng mang lại kết quả cao tiềm năng. Vì một khi thành công, tin tặc sẽ có thể truy cập vào một khối lượng lớn mục tiêu tiềm năng”.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net