Phần mềm độc hại mới xác nhận hoạt động của người dùng trước khi khai thác cửa hậu để thực hiện gián điệp mạng
Công ty an ninh mạng ESET đã phát hiện ra một nhóm hack được biết đến và khó nắm bắt đã âm thầm triển khai một phần mềm độc hại có một số mục tiêu cụ thể. Phần mềm độc hại này khai thác một cửa hậu đã vượt qua thành công trong quá khứ. Hơn nữa, phần mềm thực hiện một số thử nghiệm thú vị để đảm bảo nó đang nhắm mục tiêu đến một máy tính được sử dụng tích cực. Nếu phần mềm độc hại không phát hiện ra hoạt động hoặc không hài lòng, nó chỉ cần tắt và biến mất để duy trì khả năng tàng hình tối ưu và tránh bị phát hiện. Phần mềm độc hại mới đang tìm kiếm những nhân vật quan trọng trong bộ máy chính quyền tiểu bang. Nói một cách đơn giản, phần mềm độc hại đang theo đuổi các nhà ngoại giao và các cơ quan chính phủ trên toàn thế giới
Các Ke3chang nhóm mối đe dọa dai dẳng nâng cao dường như đã xuất hiện trở lại với một chiến dịch tấn công tập trung mới. Nhóm đã phát động và quản lý thành công các chiến dịch gián điệp mạng ít nhất kể từ năm 2010. Các hoạt động và hoạt động khai thác của nhóm khá hiệu quả. Kết hợp với các mục tiêu đã định, có vẻ như nhóm đang được tài trợ bởi một quốc gia. Dòng phần mềm độc hại mới nhất được triển khai bởi Ke3chang nhóm khá tinh vi. Các trojan truy cập từ xa được triển khai trước đây và các phần mềm độc hại khác cũng được thiết kế tốt. Tuy nhiên, phần mềm độc hại mới vượt ra ngoài khả năng lây nhiễm mù hoặc hàng loạt vào các máy được nhắm mục tiêu. Thay vào đó, hành vi của nó khá logic. Phần mềm độc hại cố gắng xác nhận và xác thực danh tính của mục tiêu và máy.
Các nhà nghiên cứu an ninh mạng tại ESET xác định các cuộc tấn công mới của Ke3chang:
Nhóm mối đe dọa dai dẳng nâng cao Ke3chang, hoạt động ít nhất từ năm 2010, cũng được xác định là APT 15. Công ty chống vi-rút, tường lửa và an ninh mạng khác phổ biến của Slovakia là ESET đã xác định được các dấu vết và bằng chứng về hoạt động của nhóm. Các nhà nghiên cứu của ESET khẳng định nhóm Ke3chang đang sử dụng các kỹ thuật đã được thử nghiệm và đáng tin cậy. Tuy nhiên, phần mềm độc hại đã được cập nhật đáng kể. Hơn nữa, khoảng thời gian này, nhóm đang cố gắng khai thác một cửa hậu mới. Cửa hậu chưa được phát hiện và chưa được báo cáo trước đây được đặt tên là Okrum.
Các nhà nghiên cứu của ESET chỉ ra rằng phân tích nội bộ của họ cho thấy nhóm đang theo đuổi các cơ quan ngoại giao và các tổ chức chính phủ khác. Ngẫu nhiên, nhóm Ke3chang đã đặc biệt tích cực trong việc thực hiện các chiến dịch gián điệp mạng tinh vi, có mục tiêu và dai dẳng. Theo truyền thống, nhóm theo đuổi các quan chức chính phủ và những nhân vật quan trọng làm việc với chính phủ. Các hoạt động của họ đã được quan sát thấy ở các quốc gia trên khắp Châu Âu và Trung và Nam Mỹ.
Sự quan tâm và tập trung của ESET tiếp tục được tập trung vào nhóm Ke3chang vì nhóm này đã hoạt động khá tích cực tại quê nhà của công ty, Slovakia. Tuy nhiên, các mục tiêu phổ biến khác của nhóm là Bỉ, Croatia, Cộng hòa Séc ở châu Âu. Nhóm được biết là đã nhắm mục tiêu đến Brazil, Chile và Guatemala ở Nam Mỹ. Các hoạt động của nhóm Ke3chang cho thấy đây có thể là một nhóm tấn công được nhà nước tài trợ với phần cứng mạnh mẽ và các công cụ phần mềm khác mà các tin tặc thông thường hoặc riêng lẻ không có sẵn. Do đó, các cuộc tấn công mới nhất cũng có thể là một phần của chiến dịch được duy trì lâu dài để thu thập thông tin tình báo, Zuzana Hromcova, một nhà nghiên cứu tại ESET, lưu ý: “Mục tiêu chính của kẻ tấn công rất có thể là gián điệp mạng, đó là lý do tại sao chúng chọn những mục tiêu này”.
Phần mềm độc hại Ketrican và Okrum Backdoor hoạt động như thế nào?
Phần mềm độc hại Ketrican và cửa hậu Okrum khá tinh vi. Các nhà nghiên cứu bảo mật vẫn đang điều tra cách cửa hậu được cài đặt hoặc bị rơi trên các máy được nhắm mục tiêu. Mặc dù sự phân bố của cửa hậu Okrum vẫn tiếp tục là một bí ẩn, nhưng hoạt động của nó thậm chí còn hấp dẫn hơn. Cửa hậu Okrum tiến hành một số kiểm tra phần mềm để xác nhận rằng nó không chạy trong hộp cát, về cơ bản đây là một không gian ảo an toàn mà các nhà nghiên cứu bảo mật sử dụng để quan sát hành vi của phần mềm độc hại. Nếu trình tải không nhận được kết quả đáng tin cậy, nó chỉ cần tự kết thúc để tránh bị phát hiện và phân tích thêm.
Phương pháp xác nhận backdoor của Okrum đang chạy trong một máy tính hoạt động trong thế giới thực cũng khá thú vị. Trình tải hoặc cửa hậu kích hoạt đường dẫn để nhận tải trọng thực tế sau khi đã nhấp chuột trái ít nhất ba lần. Các nhà nghiên cứu tin rằng kiểm tra xác nhận này được thực hiện chủ yếu để đảm bảo backdoor đang hoạt động trên các máy thực đang hoạt động chứ không phải máy ảo hoặc hộp cát.
Khi trình tải đã hài lòng, cửa hậu Okrum đầu tiên tự cấp cho mình các đặc quyền quản trị viên đầy đủ và thu thập thông tin về máy bị nhiễm. Nó lập bảng thông tin như tên máy tính, tên người dùng, địa chỉ IP máy chủ và hệ điều hành được cài đặt. Sau đó, nó yêu cầu các công cụ bổ sung. Phần mềm độc hại Ketrican mới cũng khá phức tạp và có nhiều chức năng. Nó thậm chí còn có một trình tải xuống sẵn có cũng như một trình tải lên. Công cụ tải lên được sử dụng để xuất tệp một cách lén lút. Công cụ trình tải xuống bên trong phần mềm độc hại có thể yêu cầu cập nhật và thậm chí thực hiện các lệnh shell phức tạp để xâm nhập sâu vào bên trong máy chủ.
Các nhà nghiên cứu ESET trước đó đã quan sát thấy cửa hậu Okrum thậm chí có thể triển khai các công cụ bổ sung như Mimikatz. Công cụ này thực chất là một keylogger ẩn. Nó có thể quan sát và ghi lại các lần gõ phím, đồng thời tìm cách đánh cắp thông tin đăng nhập vào các nền tảng hoặc trang web khác.
Tình cờ, các nhà nghiên cứu đã nhận thấy một số điểm tương đồng trong các lệnh mà cửa hậu Okrum và phần mềm độc hại Ketrican sử dụng để vượt qua bảo mật, cấp các đặc quyền nâng cao và thực hiện các hoạt động bất hợp pháp khác. Sự giống nhau không thể nhầm lẫn giữa hai người đã khiến các nhà nghiên cứu tin rằng hai người có quan hệ mật thiết với nhau. Hromcova lưu ý: Nếu đó không phải là một liên kết đủ mạnh, cả hai phần mềm đều nhắm mục tiêu đến cùng một nạn nhân, “Chúng tôi bắt đầu kết nối các dấu chấm khi chúng tôi phát hiện ra rằng cửa hậu Okrum đã được sử dụng để đánh rơi một cửa hậu Ketrican, được biên dịch vào năm 2017. Trên hết , chúng tôi nhận thấy rằng một số thực thể ngoại giao bị ảnh hưởng bởi phần mềm độc hại Okrum và các cửa hậu Ketrican năm 2015 cũng bị ảnh hưởng bởi các cửa hậu Ketrican 2017. ”
Hai phần mềm độc hại có liên quan cách nhau nhiều năm và các hoạt động dai dẳng của nhóm mối đe dọa dai dẳng nâng cao Ke3chang cho thấy nhóm này vẫn trung thành với gián điệp mạng. ESET tự tin, nhóm đã và đang cải thiện chiến thuật của mình và bản chất của các cuộc tấn công ngày càng tinh vi và hiệu quả. Nhóm an ninh mạng đã ghi chép các hoạt động khai thác của nhóm trong một thời gian dài và đang duy trì một báo cáo phân tích chi tiết.
Gần đây, chúng tôi đã báo cáo về cách một nhóm tấn công đã từ bỏ các hoạt động trực tuyến bất hợp pháp khác của mình và bắt đầu tập trung vào gián điệp mạng. Rất có thể các nhóm hack có thể tìm thấy những triển vọng và phần thưởng tốt hơn trong hoạt động này. Với các cuộc tấn công do nhà nước bảo trợ đang gia tăng, các chính phủ lừa đảo cũng có thể bí mật hỗ trợ các nhóm và đề nghị ân xá cho họ để đổi lấy những bí mật quốc gia có giá trị.
