Nhóm hacker InvisiMole tấn công vào các tổ chức quân sự và ngoại giao cấp cao

Nhằm hỗ trợ và đồng hành cùng doanh nghiệp đẩy lùi hậu quả của đại dịch Covid-19, CyStack hỗ trợ: miễn phí 3 tháng bảo mật website & server với phần mềm Cloud Security. > Đăng ký ngay.

Nhóm hacker InvisiMole tấn công vào các tổ chức quân sự và ngoại giao cấp cao

Mới đây, các nhà nghiên cứu an ninh mạng đã tiết lộ cách thức hoạt động của một nhóm tin tặc bí ẩn, nhắm mục tiêu chủ yếu vào các tổ chức ngoại giao và quân sự tầm cỡ ở Đông Âu nhằm mục đích tình báo.

Những phát hiện này là thành quả của quá trình phân tích hợp tác giữa công ty an ninh mạng ESET cùng với các công ty bị ảnh hưởng, đã cho thấy bức tranh tổng quát về cách thức hoạt động của InvisiMole, cũng như các chiến thuật, công cụ và phương pháp (TTPs) mà chúng sử dụng.

“Sau khi tiến hành điều tra với các tổ chức bị ảnh hưởng, các chuyên gia bảo mật của ESET đã phát hiện ra bộ công cụ mở rộng, tinh vi mà những kẻ tấn công này sử dụng để truyền thông tin, di chuyển kênh bên, và thực thi các chương trình backdoor”, công ty cho biết trong một báo cáo chia sẻ với The Hacker News.

Hợp tác với nhóm tin tặc Gamaredon

Các nhà nghiên cứu cho biết, InvisiMole có lẽ đã bắt đầu hoạt động muộn nhất từ năm 2013 và có liên quan chặt chẽ tới các hoạt động gián điệp mạng ở Ukraine và Nga. Tuy nhiên, nó chỉ mới bị phát hiện lần đầu vào năm 2018. Sau khi bị phát hiện và rơi vào tầm ngắm của các cơ quan chức năng, nhóm hacker này đã chủ động cải thiện chiến thuật và chính thức trở lại vào cuối năm ngoái với một bộ công cụ cải tiến hơn cùng với các thủ thuật chưa từng được biết đến trước đấy, nhằm che giấu mã độc một cách tinh vi hơn.

“InvisiMole sử dụng một modular architecture (kiến trúc mô-đun), bắt đầu quá trình xâm nhập bằng một DLL wrapper, và thực thi các hoạt động tấn công bằng cách sử dụng hai mô-đun khác được nhúng trong tài nguyên của nó,” các nhà nghiên cứu ESET cho biết trong một báo cáo vào tháng 6 năm 2018. “Cả hai mô-đun đều là những backdoor đa tính năng (feature-rich backdoor), kết hợp với nhau chúng tối đa hóa khả năng thu thập thông tin của mục tiêu bị nhắm đến.”

Hai phần mềm gián điệp đa tính năng này, được đặt tên là RC2FM và RC2CL, có khả năng thay đổi hệ thống, quét các mạng không dây để theo dõi vị trí địa lý của nạn nhân, thu thập thông tin người dùng, và thậm chí tải lên các file nhạy cảm nằm trong các máy bị xâm nhập. Tuy nhiên, cho đến tận bây giờ, cơ chế lây nhiễm chính xác của mã độc này vẫn chưa được giải đáp rõ ràng.

malware attack

ESET không chỉ tìm thấy bằng chứng về các kỹ thuật “living off the land” – chỉ việc kẻ tấn công sử dụng các công cụ hoặc tính năng đã tồn tại trong môi trường mục tiêu – được sử dụng để khai thác các ứng dụng hợp pháp nhằm lén lút thực hiện các hoạt động độc hại, mà công ty này còn phát hiện ra mối quan hệ ngầm giữa InvisiMole với một nhóm tấn công an ninh mạng thứ hai có tên là Gamaredon – một tổ chức có lịch sử lâu dài trong việc tấn công mạng chống lại cơ quan chính phủ của Ukraine.

“Gamaredon được sử dụng để mở đường cho một payload độc hại hơn – theo hệ thống ghi nhận từ xa của chúng tôi (telemetry), một phần nhỏ mục tiêu tấn công của Gamaredon – những mục tiêu mà nhóm tin tặc này đánh giá là đặc biệt quan trọng – đã bị xâm nhập bởi một mã độc InvisiMole “cải tiến” hơn. Bởi lẽ mã độc này có thể được triển khai ngay sau khi kẻ tấn công giành được đặc quyền quản trị viên hệ thống, mà không cần quyền truy cập cao hơn như nhiều phương thức tấn công khác của InvisiMole.

Sau khi cuộc tấn công được khơi mào, InvisiMole bắt đầu khai thác các lỗ hổng BlueKeep (CVE-2019-0708) và EternalBlue (CVE-2017-0144) trong các giao thức RDP và SMB hoặc sử dụng các tài liệu và software installer đã bị nhiễm mã độc trojan để lây truyền ngang qua mạng.

Bên cạnh việc sử dụng các bản cập nhật của chương trình backdoor RC2CL và RC2FM, mã độc này đã lợi dụng một TCS downloader để tải xuống các mô-đun bổ sung và một DNS downloader, và từ đó, chúng lần lượt, lợi dụng DNS tunneling để che giấu thông tin liên lạc đến máy chủ do kẻ tấn công kiểm soát.

“Với DNS tunneling, máy khách bị xâm nhập không kết nối trực tiếp với máy chủ C&C; mà nó chỉ kết nối với (các) máy chủ DNS lành tính mà máy nạn nhân thường kết nối, nơi nó sẽ gửi yêu cầu giải quyết một tên miền đến địa chỉ IP của nó,” các nhà nghiên cứu cho biết. “Sau đó, máy chủ DNS sẽ liên hệ với name server (máy chủ tên miền) chịu trách nhiệm về tên miền trong yêu cầu – một name server do kẻ tấn công kiểm soát, và chuyển tiếp phản hồi của nó trở lại máy khách.”

RC2CL và RC2FM: Phần mềm gián điệp được trang bị đầy đủ tính năng

Hơn nữa, các payload cuối cùng, RC2CL và RC2FM, đã được truyền đi thông qua không dưới bốn chuỗi thực thi khác nhau, mà được đặt cùng nhau bằng cách kết hợp các shellcode độc ​​hại với các công cụ hợp pháp và các tệp thực thi dễ bị tấn công.

computer virus

Phần mềm RC2CL backdoor cải tiến có thể hỗ trợ thao tác lên tới 87 lệnh. Trong đó, có một số lệnh nổi bật như tự động bật webcam, microphone để chụp ảnh, quay video, thu âm thanh, hay chụp ảnh màn hình, thu thập thông tin mạng, thống kê các phần mềm đã cài đặt, và giám sát các tài liệu được truy cập gần đây của nạn nhân. Đối với RC2FM, mặc dù không có những tính năng quá nổi trội, nhưng phần mềm này cũng có riêng cho mình một bộ lệnh cho phép trích xuất và đánh cắp các tài liệu, cùng với tính năng ghi lại các keystrokes (tổ hợp phím) và có thể vượt qua khâu kiểm soát truy cập người dùng (UAC – User Access Control).

Hơn nữa, các phiên bản mới của RC2CL và RC2FM đều có những chức năng riêng biệt để qua mắt các chương trình diệt vi-rút. Chẳng hạn như tự inject chính nó vào các quy trình vô hại khác, hay che giấu một số tính năng độc hại, như keylogging (trình theo dõi thao tác bàn phím) để tránh bị phát hiện.

“Các mục tiêu được coi là đặc biệt quan trọng bởi nhóm tin tặc này, bị cấy một mã độc cải tiến InvisiMole thay vì mã độc Gamaredon tương đối đơn giản như trước đó”, nhà nghiên cứu Zuzana Hromcová của ESET chia sẻ. “Sự hợp tác chưa từng có tiền lệ giữa hai nhóm hacker này sẽ tạo điều kiện thuận lợi giúp InvisiMole phát triển thêm những mánh khóe vận hành mới, và tránh được “con mắt” theo dõi của các chuyên gia bảo mật hàng đầu,” bà cho biết thêm.

Theo The Hacker News

Nguồn: https://thehackernews.com/2020/06/invisimole-hackers.html