Cảnh báo chiến dịch gián điệp mạng của tin tặc từ “Trung Quốc” nhắm vào khu vực Đông Nam Á

June 5, 2021

Một nhóm tin tặc Trung Quốc đang có hoạt động gián điệp nhắm vào Bộ Ngoại giao ở một số nước Đông Nam Á. Chúng sử dụng một phần mềm gián điệp, có tên là RoyalRoad DRF từ nhóm SharpPanda, để tạo ra các backdoor trên Hệ điều hành Windows. Phần mềm này cho phép truy cập từ xa và thu thập dữ liệu ngay trên máy tính của nạn nhân.

Cách thức hoạt động

Các tài liệu độc hại được “trang bị” bộ công cụ khai thác RoyalRoad RTF, tin tặc sau đó phát động một chiến dịch lừa đảo trực tuyến bằng cách gửi email tới nhiều mục tiêu trong Bộ Ngoại giao. Các nhà nghiên cứu từ Check Point Research (CPR) báo cáo rằng việc mở tệp đính kèm sẽ bắt đầu một chuỗi các trình tải trong bộ nhớ nhằm phân phối các backdoor chưa được biết đến trước đó.

Tiếp đó, tin tặc sẽ lợi dụng lỗ hổng trong thành phần Equation Editor của Microsoft Word (một lỗi đã cũ và đã được khắc phục nhưng vẫn phổ biến với các nhóm APT của Trung Quốc) để triển khai backdoor lên hệ thống mục tiêu. Đây là sự khởi đầu của một chuỗi lây nhiễm nhiều giai đoạn phức tạp gây khó khăn cho việc phát hiện và phân tích.

Bằng việc khai thác hàm Sleep phổ biến dựa trên công nghệ anti-sanboxing, tin tặc triển mã độc lên máy nạn nhân. Sau đó, nó thu thập dữ liệu trên máy tính của nạn nhân và truy vấn WMI để biết thông tin về công cụ chống vi-rút trên hệ thống. Dữ liệu này được mã hóa bằng RC4 và base64 và được gửi qua thông qua yêu cầu GET HTTP tới máy chủ ra lệnh và kiểm soát (C2).

Sau khi xác định được mục tiêu, mã độc tiếp tục tải các mã độc DLL khác vào bộ nhớ và thực hiện thu thập thông tin thông qua hàm StarW, và gửi kết quả về máy chủ C2.

Mã độc tiếp tục tải các mã độc hại từ máy chủ C2 nhằm tạo kết nối với máy chủ kiểm soát để nhận lệnh và triển khai backdoor. Backdoor này có nhiệm vụ thu thập thông tin về các tiến trình và dịch vụ đang chạy, chụp ảnh màn hình, thực hiện đọc/ghi thông cmd.exe, tạo hoặc kết thúc các tiến trình, thu thập thông tin về máy tính, tắt máy tính… Tin tặc gọi backdoor này là VictoryDll_x86.dll.

Backdoor VictoryDll_x86.dll được phát triển từ năm 2017 và được Check Point Research phát hiện trong năm 2018 khi mẫu được gửi lên VirusTotal để quét. Khi ấy, kẻ tấn công gọi backdoor này là MClient và được triển khai trong dự án SharpM.

Dấu chân

Những manh mối để xác định nhóm tin tặc có liên quan tới Trung Quốc bao gồm việc sử dụng công cụ RoyalRoad, chỉ hoạt động trong giờ làm việc theo múi giờ của Trung Quốc, ngừng hoạt động trong ngày nghỉ lao động của Trung Quốc (từ ngày 1 tháng 5 đến ngày 5 tháng 5), phần mềm độc hại có chứa các kiểm tra kết nối với Baidu.

Tuy nhiên đây chỉ được xem là những dấu hiệu hơn là bằng chứng để khẳng định nhóm tin tặc này đến từ Trung Quốc vì trên không gian mạng, mọi thứ được làm giả rất tinh vi và kín kẽ. Sự tin vi của nhóm tin tặc này khiến nhà nghiên cứu Lotem Finkelsteen từ Check Point Software, nhận xét: “Tất cả các bằng chứng đều chỉ ra thực tế rằng đây là một nhóm tin tặc với kỹ năng cao, rất khó khăn để phát hiện các chiến dịch từ chúng. Cứ vài tuần một lần, kẻ tấn công lại sử dụng các email lừa đảo, với nội dung của mang hơi hướng chỉ đạo của chính phủ, để cố gắng tạo ra sự tin tưởng từ các cơ quan của bộ ngoại giao. Điều này cho thấy kẻ tấn công trước tiên phải tấn công một cơ quan trong chính phủ để đánh cắp và nhúng mã độc vào tài liệu để tấn công bộ ngoại giao. Nhóm tin tặc tới từ Trung Quốc này thực hiện tấn công rất có hệ thống”.

BTV DSH