MinhSec
Writer
Các nhà nghiên cứu an ninh mạng vừa phát hiện một chiến dịch gián điệp mới, trong đó tin tặc lợi dụng tin tức về Venezuela để đánh lừa các quan chức chính phủ Mỹ cài đặt phần mềm độc hại có tên LOTUSLITE.
Theo Acronis Threat Research Unit (TRU), thay vì khai thác các lỗ hổng kỹ thuật phức tạp, nhóm tấn công đã chọn một cách tiếp cận đơn giản nhưng hiệu quả hơn: tận dụng sự tò mò của nạn nhân trước các sự kiện chính trị nóng hổi.
Chiến dịch này sử dụng căng thẳng đang diễn ra giữa Mỹ và Venezuela làm mồi nhử. Bẫy ban đầu là một tập tin ZIP có tiêu đề “US now deciding what’s next for Venezuela.zip”, được thiết kế để khiến người nhận tưởng rằng đây là tài liệu hoặc tin tức nội bộ quan trọng.
Bên trong file nén là một chương trình trông có vẻ vô hại, thực chất là một trình phát nhạc bị đổi tên thành “Maduro to be taken to New York.exe”. Khi người dùng mở tệp này, chuỗi lây nhiễm sẽ bắt đầu.
Khi trình phát nhạc giả mạo được khởi chạy, hệ thống sẽ vô tình nạp kugou.dll. Tập tin này chính là cửa hậu LOTUSLITE, cho phép kẻ tấn công âm thầm xâm nhập vào máy tính nạn nhân.
Sau khi được kích hoạt, LOTUSLITE cho phép tin tặc thực hiện hàng loạt hành động nguy hiểm như đánh cắp tập tin, xem màn hình theo thời gian thực và chạy lệnh từ xa, gần như toàn quyền kiểm soát máy tính bị nhiễm.
Để tránh bị phát hiện, phần mềm độc hại này còn giả dạng Googlebot công cụ thu thập dữ liệu web của Google. Dữ liệu bị đánh cắp sau đó được gửi về một máy chủ điều khiển có địa chỉ IP tại Phoenix, bang Arizona.
Ngoài ra, trình tải mã độc bị đánh giá là có mức độ hoàn thiện thấp, cho thấy cuộc tấn công có thể đã được triển khai khá vội vàng, tận dụng các sự kiện đang thu hút nhiều sự chú ý để làm mồi nhử nạn nhân.
Dựa trên các đặc điểm kỹ thuật và hành vi của mã độc, Acronis cho rằng với “mức độ tin cậy vừa phải”, chiến dịch này có thể liên quan đến một nhóm tin tặc đã từng thực hiện các hoạt động do thám mạng tương tự trong quá khứ.
Mục tiêu của cuộc tấn công được nhận định rõ ràng là gián điệp kỹ thuật số, nhằm thu thập thông tin nhạy cảm và dữ liệu nội bộ, chứ không phải để trục lợi tài chính.
Các chuyên gia cảnh báo rằng chiến dịch này cho thấy ngay cả một email hoặc tệp đính kèm mang nội dung tin tức cũng có thể trở thành công cụ nguy hiểm để cài mã độc và xâm nhập hệ thống nếu người dùng mất cảnh giác.
Theo Acronis Threat Research Unit (TRU), thay vì khai thác các lỗ hổng kỹ thuật phức tạp, nhóm tấn công đã chọn một cách tiếp cận đơn giản nhưng hiệu quả hơn: tận dụng sự tò mò của nạn nhân trước các sự kiện chính trị nóng hổi.
Chiến dịch này sử dụng căng thẳng đang diễn ra giữa Mỹ và Venezuela làm mồi nhử. Bẫy ban đầu là một tập tin ZIP có tiêu đề “US now deciding what’s next for Venezuela.zip”, được thiết kế để khiến người nhận tưởng rằng đây là tài liệu hoặc tin tức nội bộ quan trọng.
Bên trong file nén là một chương trình trông có vẻ vô hại, thực chất là một trình phát nhạc bị đổi tên thành “Maduro to be taken to New York.exe”. Khi người dùng mở tệp này, chuỗi lây nhiễm sẽ bắt đầu.
Thủ đoạn DLL sideloading và cửa hậu LOTUSLITE
Về mặt kỹ thuật, cuộc tấn công dựa trên một phương pháp quen thuộc gọi là DLL sideloading. Tin tặc giấu mã độc trong một thư viện DLL độc hại có tên kugou.dll, được đặt cạnh chương trình hợp pháp để đánh lừa hệ điều hành tải nó lên.Khi trình phát nhạc giả mạo được khởi chạy, hệ thống sẽ vô tình nạp kugou.dll. Tập tin này chính là cửa hậu LOTUSLITE, cho phép kẻ tấn công âm thầm xâm nhập vào máy tính nạn nhân.
Sau khi được kích hoạt, LOTUSLITE cho phép tin tặc thực hiện hàng loạt hành động nguy hiểm như đánh cắp tập tin, xem màn hình theo thời gian thực và chạy lệnh từ xa, gần như toàn quyền kiểm soát máy tính bị nhiễm.
Để tránh bị phát hiện, phần mềm độc hại này còn giả dạng Googlebot công cụ thu thập dữ liệu web của Google. Dữ liệu bị đánh cắp sau đó được gửi về một máy chủ điều khiển có địa chỉ IP tại Phoenix, bang Arizona.
Dấu vết nghi dẫn tới nhóm tin tặc Mustang Panda
Trong báo cáo của mình, các nhà nghiên cứu Acronis cho biết mã độc LOTUSLITE chứa một số thông điệp ẩn, trong đó tác giả tự nhận về nguồn gốc của mình và phủ nhận mối liên hệ với một số nhóm tin tặc khác.Ngoài ra, trình tải mã độc bị đánh giá là có mức độ hoàn thiện thấp, cho thấy cuộc tấn công có thể đã được triển khai khá vội vàng, tận dụng các sự kiện đang thu hút nhiều sự chú ý để làm mồi nhử nạn nhân.
Dựa trên các đặc điểm kỹ thuật và hành vi của mã độc, Acronis cho rằng với “mức độ tin cậy vừa phải”, chiến dịch này có thể liên quan đến một nhóm tin tặc đã từng thực hiện các hoạt động do thám mạng tương tự trong quá khứ.
Mục tiêu của cuộc tấn công được nhận định rõ ràng là gián điệp kỹ thuật số, nhằm thu thập thông tin nhạy cảm và dữ liệu nội bộ, chứ không phải để trục lợi tài chính.
Các chuyên gia cảnh báo rằng chiến dịch này cho thấy ngay cả một email hoặc tệp đính kèm mang nội dung tin tức cũng có thể trở thành công cụ nguy hiểm để cài mã độc và xâm nhập hệ thống nếu người dùng mất cảnh giác.
Nguồn: hackread
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
