Nhóm tin tặc nói tiếng Hoa giả danh tổ chức Nhân quyên để phát tán mã độc vào nhóm người Uyghurs ở Trung Quốc

May 30, 2021

Vào thứ năm này, Check Point Research (CPR) và nhóm GReAT của Kaspersky cảnh báo về việc một chiến dịch phát tán mã độc bằng việc giả mạo các tài liệu của Hội đồng Nhân quyền Liên Hiệp Quốc (UNHRC) đến từ một nhóm người nói tiếng Hoa. Mục tiêu nhắm đến là những người Uyghurs (người Duy Ngô Nhĩ) ở khu vực Tân Cương Trung Quốc.

CÁCH THỨC PHÁT TÁN

Email của những nhà hoạt động người Uygurs sẽ nhận được một tài liệu có dán nhãn của UNHRC và được đặt tên là UgyhurApplicationList.docx, tài liệu này chứa nội dung liên quan đến các cuộc thảo luận về vi phạm nhân quyền.

Tuy nhiên, bản Word này cần quyền để có thể chỉnh sửa. Nếu như nạn nhân chấp nhận chỉnh sửa thì macro VBA sẽ ngay lập tức tải xuống một tập tin là OfficesUpdate.exe. Shellcode này sẽ hoạt động như là một công cụ update Offices “bình thường” tuy nhiên ứng dụng sẽ tự tìm đến các web giả mạo tổ chức nhân quyền để tải mã độc.

Mã độc sau khi được cài đặt vào máy nạn nhận sẽ tao ra một backdoor cho phép các đối tượng khác thực hiện hoạt động gián điệp mạng và đánh cấp dữ liệu, đồng thời có thể thao tác trên máy tính nạn nhân.

Theo dấu chân thì cả hai nhóm nghiên cứu cùng đưua ra kết luận là chiến dịch này đã hoạt động từ tháng 5 năm 2020 và bản cập nhật đầu tiên TcahfUpdate được tải từ tháng 10. Hiện tại vẫn chưa thống kê được số người bị nhiễm.

Tài liệu giả mạo với macro VBA

CÁCH ĐỂ XÁC ĐỊNH MỤC TIÊU

Khi các nhà hoạt động người Uyghurs tìm kiếm tài trợ trên trang chuyên về Nhân quyền hoặc đấu tranh cho nhân quyền như “Tổ chức Di sản và Văn hóa Thổ Nhĩ Kỳ” (TCAHF), đây là một trang giả mạo từ một tổ chức hợp pháp.

Khi các nhà hoạt động tìm cách để liên lạc tài trợ thì họ sẽ được khuyến khích là tải “máy quét bảo mật” để giúp nhà hoạt động an toàn hơn trước khi gửi Đơn xin tài trợ. Và thế là họ trở thành mục tiêu.

Theo dấu chân thì hiện tại chưa phát hiện được việc nhóm hoạt động này sẽ mở rộng ra không tuy nhiên có nhiều cơ sở cho thấy rằng nhóm này sẽ mở rộng hoạt động đến Malaysia và Thổ Nhĩ Kỳ.

Cách thức hoạt động của nhóm tin tặc này cơ bản tương tự như APT32 (hoặc Ocean Lotus) trong việc Phishing người dùng bằng các tài liệu thống kê có kèm macro đều hướng. Do đó việc bạn nhận được các văn bản từ các nguồn không rõ ràng thì bạn cần phải cẩn thận, tốt nhất là hãy luôn kiểm tra nguồn gửi trước khi xem và tải các nội dung từ email.

BTV DSH