Nguyễn Tiến Đạt
Intern Writer
Nhóm tin tặc Harvester được cho là đã phát triển phiên bản Linux mới của mã độc GoGra nhằm tấn công các tổ chức tại Nam Á, sử dụng API Microsoft Graph hợp pháp và hộp thư Outlook làm kênh điều khiển từ xa để né tránh các hệ thống phòng thủ truyền thống.
Theo báo cáo mới nhất từ nhóm săn lùng mối đe dọa của Symantec và Carbon Black, chiến dịch mới cho thấy Harvester đang mở rộng năng lực tấn công từ Windows sang Linux, đồng thời tiếp tục sử dụng hạ tầng đám mây của Microsoft để che giấu hoạt động điều khiển và đánh cắp dữ liệu.
Harvester từng được Symantec ghi nhận lần đầu vào cuối năm 2021, với các hoạt động gián điệp nhắm vào lĩnh vực viễn thông, công nghệ thông tin và cơ quan chính phủ tại Nam Á.
Ban đầu, nhóm này sử dụng một phần mềm cấy ghép có tên Graphon – cũng dựa trên Microsoft Graph API – để duy trì kết nối điều khiển từ xa.
Phiên bản mới nhất được phát hiện hiện nay cho thấy GoGra đã có biến thể dành cho Linux, cho phép nhóm tin tặc mở rộng phạm vi lây nhiễm sang các hệ thống máy chủ sử dụng hệ điều hành này.
Tin tặc sử dụng kỹ thuật thao túng tâm lý (social engineering), ngụy trang các tệp nhị phân ELF thành tài liệu PDF nhằm lừa người dùng mở file độc hại.
Khi nạn nhân thực thi tệp, mã độc sẽ hiển thị một tài liệu mồi nhử để đánh lạc hướng, trong khi cửa hậu âm thầm được kích hoạt ở chế độ nền.
Cụ thể, mã độc sẽ liên tục truy vấn một thư mục Outlook có tên “Zomato Pizza” sau mỗi hai giây bằng giao thức OData.
Phần mềm sẽ quét hộp thư đến để tìm các email có tiêu đề bắt đầu bằng từ “Input”. Khi phát hiện email phù hợp, nó sẽ giải mã nội dung Base64 bên trong và thực thi các lệnh shell thông qua “/bin/bash”.
Sau đó, kết quả thực thi sẽ được gửi ngược lại cho kẻ tấn công qua email mới có tiêu đề “Output”. Cuối cùng, email gốc sẽ bị xóa để xóa dấu vết hoạt động.
Đặc biệt, các nhà nghiên cứu còn phát hiện nhiều lỗi chính tả giống hệt nhau được mã hóa cứng trong cả hai phiên bản, cho thấy khả năng rất cao cả hai biến thể đều do cùng một nhà phát triển xây dựng.
Cảnh báo xu hướng tấn công mới
Giới chuyên gia nhận định việc mở rộng sang Linux cho thấy Harvester đang nâng cấp đáng kể năng lực tấn công, đặc biệt trong bối cảnh nhiều tổ chức sử dụng Linux cho máy chủ trọng yếu.
Việc lợi dụng các dịch vụ hợp pháp như Microsoft Graph và Outlook cũng phản ánh xu hướng ngày càng phổ biến của các nhóm gián điệp mạng hiện đại: sử dụng hạ tầng đám mây hợp pháp để ẩn mình, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn nhiều.
Theo báo cáo mới nhất từ nhóm săn lùng mối đe dọa của Symantec và Carbon Black, chiến dịch mới cho thấy Harvester đang mở rộng năng lực tấn công từ Windows sang Linux, đồng thời tiếp tục sử dụng hạ tầng đám mây của Microsoft để che giấu hoạt động điều khiển và đánh cắp dữ liệu.
Tấn công nhắm vào Nam Á
Các chuyên gia bảo mật phát hiện nhiều bằng chứng liên quan đến phần mềm độc hại này được tải lên nền tảng VirusTotal từ Ấn Độ và Afghanistan, cho thấy hai quốc gia này có thể là mục tiêu chính của chiến dịch.Harvester từng được Symantec ghi nhận lần đầu vào cuối năm 2021, với các hoạt động gián điệp nhắm vào lĩnh vực viễn thông, công nghệ thông tin và cơ quan chính phủ tại Nam Á.
Ban đầu, nhóm này sử dụng một phần mềm cấy ghép có tên Graphon – cũng dựa trên Microsoft Graph API – để duy trì kết nối điều khiển từ xa.
GoGra mở rộng sang Linux
Đến tháng 8/2024, Harvester bị phát hiện sử dụng một phần mềm độc hại mới viết bằng ngôn ngữ Go mang tên GoGra để tấn công một tổ chức truyền thông tại Nam Á.Phiên bản mới nhất được phát hiện hiện nay cho thấy GoGra đã có biến thể dành cho Linux, cho phép nhóm tin tặc mở rộng phạm vi lây nhiễm sang các hệ thống máy chủ sử dụng hệ điều hành này.
Tin tặc sử dụng kỹ thuật thao túng tâm lý (social engineering), ngụy trang các tệp nhị phân ELF thành tài liệu PDF nhằm lừa người dùng mở file độc hại.
Khi nạn nhân thực thi tệp, mã độc sẽ hiển thị một tài liệu mồi nhử để đánh lạc hướng, trong khi cửa hậu âm thầm được kích hoạt ở chế độ nền.
Lợi dụng Outlook làm kênh điều khiển
Điểm đáng chú ý nhất của GoGra là việc sử dụng API Microsoft Graph hợp pháp cùng hộp thư Outlook để làm kênh chỉ huy và kiểm soát (C2), giúp phần mềm độc hại khó bị phát hiện hơn so với các máy chủ C2 truyền thống.Cụ thể, mã độc sẽ liên tục truy vấn một thư mục Outlook có tên “Zomato Pizza” sau mỗi hai giây bằng giao thức OData.
Phần mềm sẽ quét hộp thư đến để tìm các email có tiêu đề bắt đầu bằng từ “Input”. Khi phát hiện email phù hợp, nó sẽ giải mã nội dung Base64 bên trong và thực thi các lệnh shell thông qua “/bin/bash”.
Sau đó, kết quả thực thi sẽ được gửi ngược lại cho kẻ tấn công qua email mới có tiêu đề “Output”. Cuối cùng, email gốc sẽ bị xóa để xóa dấu vết hoạt động.
Dấu hiệu cùng một nhà phát triển
Theo Symantec, dù hoạt động trên hai nền tảng khác nhau là Windows và Linux, logic điều khiển từ xa của GoGra vẫn gần như giống nhau.Đặc biệt, các nhà nghiên cứu còn phát hiện nhiều lỗi chính tả giống hệt nhau được mã hóa cứng trong cả hai phiên bản, cho thấy khả năng rất cao cả hai biến thể đều do cùng một nhà phát triển xây dựng.
Cảnh báo xu hướng tấn công mới
Giới chuyên gia nhận định việc mở rộng sang Linux cho thấy Harvester đang nâng cấp đáng kể năng lực tấn công, đặc biệt trong bối cảnh nhiều tổ chức sử dụng Linux cho máy chủ trọng yếu.
Việc lợi dụng các dịch vụ hợp pháp như Microsoft Graph và Outlook cũng phản ánh xu hướng ngày càng phổ biến của các nhóm gián điệp mạng hiện đại: sử dụng hạ tầng đám mây hợp pháp để ẩn mình, khiến việc phát hiện và ngăn chặn trở nên khó khăn hơn nhiều.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
