Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Các cuộc tấn công 'Stayin' Alive' của Trung Quốc nhắm vào các mục tiêu bằng phần mềm độc hại ngu ngốc

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 203

Các mối đe dọa dai dẳng nâng cao (APT) của Trung Quốc được biết đến là phức tạp, nhưng nhóm “ToddyCat” đang đi ngược lại xu hướng, xâm phạm các tổ chức viễn thông ở Trung và Đông Nam Á bằng cách sử dụng kho vũ khí không ngừng phát triển gồm các cửa hậu và bộ tải được phát triển tùy chỉnh nhưng rất đơn giản.

ToddyCat được phát hiện lần đầu tiên vào năm ngoái, mặc dù nó đã hoạt động ít nhất từ ​​năm 2020. Theo Check Point, trước đây nó có liên quan đến các hoạt động gián điệp của Trung Quốc.

In một bài viết blog được xuất bản trong tuần này, Các nhà nghiên cứu của Check Point đã mô tả cách nhóm này hoạt động linh hoạt ngày nay: bằng cách triển khai và cũng nhanh chóng loại bỏ phần mềm độc hại giá rẻ mà nhóm có thể sử dụng để giảm tải trọng của mình.

Nạn nhân của chiến dịch “Stayin' Alive” mới nhất — hoạt động ít nhất từ ​​năm 2021 — bao gồm các công ty viễn thông từ Kazakhstan, Pakistan, Uzbekistan và Việt Nam. Vẫn chưa rõ phạm vi tiếp cận chính xác của chúng và liệu chúng có gây ra bất kỳ thiệt hại nào hay không.

Chiến thuật mới nhất của ToddyCat

Các cuộc tấn công của Stayin' Alive bắt đầu bằng các email lừa đảo có chứa các tệp lưu trữ. Sau khi được thực thi, các tệp lưu trữ được thiết kế để tận dụng CVE-2022-23748, lỗ hổng tải DLL có mức độ nghiêm trọng 7.8/10 “Cao” trong Phần mềm hệ thống Dante AV. ToddyCat sử dụng tính năng tải trước DLL như vậy — một kỹ thuật phổ biến, đặc biệt là trong số các tác nhân đe dọa Trung Quốc — để thả trình tải và trình tải xuống vào các thiết bị được nhắm mục tiêu.

Sergey Shykevich, giám đốc nhóm tình báo mối đe dọa tại Check Point giải thích, những trình tải và trình tải xuống này gần như không đạt được thông số kỹ thuật mà người ta mong đợi về một tác nhân đe dọa cấp cao có liên kết với nhà nước.

“Chúng có chức năng tương đối cơ bản nhưng đủ tốt để đạt được các mục tiêu ban đầu, như cho phép kẻ tấn công nhận được các báo cáo cơ bản về máy bị nhiễm: tên máy tính, tên người dùng, thông tin hệ thống, một số thư mục, v.v. Chúng cũng bao gồm chức năng pháo kích, cho phép thực hiện bất kỳ lệnh nào mà kẻ tấn công muốn,” ông giải thích.

“Giả định của chúng tôi là thông qua lớp vỏ, họ có thể triển khai các cửa hậu và mô-đun bổ sung,” ông nói thêm, mặc dù nghiên cứu không mở rộng đến việc tìm ra tải trọng cuối cùng mà họ đã triển khai.

Cách sử dụng phần mềm độc hại ngu ngốc một cách thông minh

Mặc dù lúc đầu, nó có vẻ lười biếng hoặc không hiệu quả, nhưng có lý do đằng sau việc sử dụng những công cụ cơ bản như vậy thay vì những vũ khí chiến tranh mạng phức tạp, đa chức năng hơn.

Shykevich giải thích: “Công cụ càng nhỏ thì càng khó phát hiện. “Ngoài ra, khi nó là một công cụ nhỏ, việc điều chỉnh nó cho phù hợp với mục tiêu tương đối dễ dàng.”

Dễ dàng điều chỉnh hơn và ít tốn kém hơn khi vứt đi. Thông thường, các nhà nghiên cứu xác định và theo dõi APT bằng cách tham chiếu chéo các chi tiết giữa các cuộc tấn công khác nhau. Tuy nhiên, với ToddyCat, điều đó là không thể - mỗi mẫu phần mềm độc hại của nó không có sự trùng lặp rõ ràng với các họ phần mềm độc hại đã biết hoặc thậm chí với nhau. Các nhà nghiên cứu hy vọng rằng chúng có thể bị loại bỏ để lấy mẫu mới ngay cả khi ít sử dụng. “Những thay đổi nhỏ có nghĩa là bạn có thể bắt được một trong số chúng, nhưng sẽ không dễ dàng để bắt được tất cả những con khác. Nó sẽ đòi hỏi một số công việc bổ sung,” Shykevich nói.

Điều đó nói lên rằng, ToddyCat bị hủy hoại bởi thực tế là mỗi mẫu đều truy tìm lại cơ sở hạ tầng chỉ huy và kiểm soát (C2) dễ nhận dạng của nó.

Để chống lại kẻ tấn công nhanh nhẹn như vậy, Shykevich đề xuất một cách tiếp cận theo lớp. Ông ủng hộ: “Ví dụ, lớp đầu tiên ở đây là email - bạn nên có biện pháp bảo vệ email thích hợp để xác định tệp đính kèm độc hại”. “Nhưng một cấp độ khác là điểm cuối phát hiện và phản hồi điểm cuối (EDR), để xác định ví dụ như hoạt động tải DLL và hoạt động shell độc hại.”

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.