Nguyễn Tiến Đạt
Intern Writer
Một nhóm tin tặc mới, được các nhà nghiên cứu đặt tên là LongNosedGoblin, bị phát hiện có liên hệ với Trung Quốc và đứng sau hàng loạt cuộc tấn công mạng nhằm vào các cơ quan chính phủ tại Đông Nam Á, Nhật Bản và một số quốc gia thuộc Liên minh châu Âu (EU).
Theo báo cáo mới công bố của công ty an ninh mạng ESET (Slovakia), mục tiêu chính của các chiến dịch này là gián điệp mạng, với thời gian hoạt động được xác định ít nhất từ tháng 9/2023. Nhóm đã bị ESET phát hiện lần đầu vào tháng 2/2024, khi phân tích hệ thống của một cơ quan chính phủ tại Đông Nam Á.
Điểm đáng chú ý là LongNosedGoblin lạm dụng cơ chế Group Policy (Chính sách Nhóm Windows) – một công cụ quản trị hợp pháp của Microsoft – để triển khai phần mềm độc hại trên diện rộng trong các mạng đã bị xâm nhập. Ngoài ra, nhóm còn sử dụng dịch vụ đám mây phổ biến như Microsoft OneDrive, Google Drive và Yandex Disk làm máy chủ điều khiển và kiểm soát (C&C), giúp che giấu hoạt động độc hại trong lưu lượng hợp pháp.
Cụ thể, NosyHistorian được dùng để thu thập lịch sử duyệt web từ Google Chrome, Microsoft Edge và Mozilla Firefox. NosyStealer trích xuất dữ liệu trình duyệt từ Chrome và Edge, sau đó nén thành tệp TAR được mã hóa và tải lên Google Drive. NosyDownloader có nhiệm vụ tải và thực thi payload trực tiếp trong bộ nhớ, chẳng hạn như NosyLogger, một biến thể chỉnh sửa từ công cụ DuckSharp dùng để ghi lại thao tác gõ phím.
Thành phần nguy hiểm nhất là NosyDoor, một backdoor sử dụng OneDrive (và trong một số chiến dịch khác là Yandex Disk) làm máy chủ C&C. NosyDoor cho phép tin tặc đánh cắp tệp, xóa dữ liệu và thực thi lệnh dòng lệnh từ xa. Phân tích cho thấy không phải tất cả nạn nhân bị nhiễm NosyHistorian đều bị cài NosyDoor, cho thấy nhóm áp dụng chiến thuật tấn công có chọn lọc cao.
Trong một số trường hợp, NosyDoor còn được triển khai thông qua kỹ thuật tiêm AppDomainManager, kèm theo các “rào cản thực thi” nhằm đảm bảo mã độc chỉ hoạt động trên những máy tính nạn nhân cụ thể. Ngoài ra, LongNosedGoblin còn sử dụng các công cụ bổ trợ như proxy SOCKS5 ngược, tiện ích ghi âm và ghi hình màn hình, cũng như trình tải Cobalt Strike.
Đáng chú ý, sự tương đồng giữa NosyDoor và LuckyStrike Agent, cùng với việc xuất hiện cụm từ “Phiên bản trả phí” trong đường dẫn PDB của LuckyStrike Agent, làm dấy lên khả năng mã độc này được bán hoặc cấp phép cho nhiều nhóm tấn công khác nhau. Điều này được củng cố khi ESET phát hiện một biến thể NosyDoor khác nhắm vào một tổ chức tại EU, sử dụng Yandex Disk làm máy chủ C&C và áp dụng chiến thuật tấn công khác biệt.
Theo ESET, những phát hiện này cho thấy khả năng chia sẻ hoặc tái sử dụng phần mềm độc hại giữa các nhóm tội phạm mạng có liên hệ với Trung Quốc, làm gia tăng mức độ phức tạp và nguy hiểm của các chiến dịch gián điệp mạng hiện nay. (thehackernews)
Theo báo cáo mới công bố của công ty an ninh mạng ESET (Slovakia), mục tiêu chính của các chiến dịch này là gián điệp mạng, với thời gian hoạt động được xác định ít nhất từ tháng 9/2023. Nhóm đã bị ESET phát hiện lần đầu vào tháng 2/2024, khi phân tích hệ thống của một cơ quan chính phủ tại Đông Nam Á.
Điểm đáng chú ý là LongNosedGoblin lạm dụng cơ chế Group Policy (Chính sách Nhóm Windows) – một công cụ quản trị hợp pháp của Microsoft – để triển khai phần mềm độc hại trên diện rộng trong các mạng đã bị xâm nhập. Ngoài ra, nhóm còn sử dụng dịch vụ đám mây phổ biến như Microsoft OneDrive, Google Drive và Yandex Disk làm máy chủ điều khiển và kiểm soát (C&C), giúp che giấu hoạt động độc hại trong lưu lượng hợp pháp.
Chuỗi tấn công và bộ công cụ gián điệp tùy chỉnh
Theo các nhà nghiên cứu Anton Cherepanov và Peter Strýček, LongNosedGoblin sử dụng một bộ công cụ phần mềm độc hại tùy chỉnh, chủ yếu viết bằng C#/.NET, bao gồm nhiều thành phần có vai trò riêng biệt.Cụ thể, NosyHistorian được dùng để thu thập lịch sử duyệt web từ Google Chrome, Microsoft Edge và Mozilla Firefox. NosyStealer trích xuất dữ liệu trình duyệt từ Chrome và Edge, sau đó nén thành tệp TAR được mã hóa và tải lên Google Drive. NosyDownloader có nhiệm vụ tải và thực thi payload trực tiếp trong bộ nhớ, chẳng hạn như NosyLogger, một biến thể chỉnh sửa từ công cụ DuckSharp dùng để ghi lại thao tác gõ phím.
Thành phần nguy hiểm nhất là NosyDoor, một backdoor sử dụng OneDrive (và trong một số chiến dịch khác là Yandex Disk) làm máy chủ C&C. NosyDoor cho phép tin tặc đánh cắp tệp, xóa dữ liệu và thực thi lệnh dòng lệnh từ xa. Phân tích cho thấy không phải tất cả nạn nhân bị nhiễm NosyHistorian đều bị cài NosyDoor, cho thấy nhóm áp dụng chiến thuật tấn công có chọn lọc cao.
Trong một số trường hợp, NosyDoor còn được triển khai thông qua kỹ thuật tiêm AppDomainManager, kèm theo các “rào cản thực thi” nhằm đảm bảo mã độc chỉ hoạt động trên những máy tính nạn nhân cụ thể. Ngoài ra, LongNosedGoblin còn sử dụng các công cụ bổ trợ như proxy SOCKS5 ngược, tiện ích ghi âm và ghi hình màn hình, cũng như trình tải Cobalt Strike.
Dấu hiệu chia sẻ mã độc giữa các nhóm tin tặc
ESET cho biết kỹ thuật và chiến thuật của LongNosedGoblin có một số điểm tương đồng với các nhóm tin tặc khác được theo dõi như ToddyCat và Erudite Mogwai, dù hiện chưa có bằng chứng chắc chắn cho thấy mối liên hệ trực tiếp.Đáng chú ý, sự tương đồng giữa NosyDoor và LuckyStrike Agent, cùng với việc xuất hiện cụm từ “Phiên bản trả phí” trong đường dẫn PDB của LuckyStrike Agent, làm dấy lên khả năng mã độc này được bán hoặc cấp phép cho nhiều nhóm tấn công khác nhau. Điều này được củng cố khi ESET phát hiện một biến thể NosyDoor khác nhắm vào một tổ chức tại EU, sử dụng Yandex Disk làm máy chủ C&C và áp dụng chiến thuật tấn công khác biệt.
Theo ESET, những phát hiện này cho thấy khả năng chia sẻ hoặc tái sử dụng phần mềm độc hại giữa các nhóm tội phạm mạng có liên hệ với Trung Quốc, làm gia tăng mức độ phức tạp và nguy hiểm của các chiến dịch gián điệp mạng hiện nay. (thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
