Nguyễn Tiến Đạt
Intern Writer
Một nhóm tin tặc tấn công dai dẳng (APT) có liên hệ với Trung Quốc, được biết đến với tên Evasive Panda, đã bị phát hiện đứng sau một chiến dịch gián điệp mạng có mục tiêu cao, sử dụng kỹ thuật đầu độc DNS để phát tán phần mềm độc hại MgBot. Theo Kaspersky, chiến dịch này diễn ra trong khoảng thời gian dài từ tháng 11/2022 đến tháng 11/2024, nhắm vào các nạn nhân tại Trung Quốc, Thổ Nhĩ Kỳ và Ấn Độ.
Evasive Panda còn được theo dõi dưới các tên khác như Bronze Highland, Daggerfly và StormBamboo, và được đánh giá là đã hoạt động ít nhất từ năm 2012. Nhóm này nổi tiếng với việc sử dụng các kỹ thuật tấn công trung gian (Adversary-in-the-Middle – AitM) để xâm nhập có chọn lọc vào các mục tiêu cụ thể.
Theo nhà nghiên cứu Fatih Şensoy của Kaspersky, Evasive Panda thường cài đặt phần mềm độc hại vào các vị trí cụ thể trên hệ thống nạn nhân, đồng thời lưu trữ các thành phần mã hóa của mã độc trên máy chủ do kẻ tấn công kiểm soát. Những thành phần này chỉ được giải mã khi hệ thống gửi các yêu cầu DNS đến những trang web nhất định, khiến việc phát hiện trở nên cực kỳ khó khăn.
Theo phân tích, phản hồi DNS của tên miền này có khả năng đã bị thay đổi để trỏ đến máy chủ do tin tặc kiểm soát, trong khi mô-đun cập nhật hợp pháp của ứng dụng vẫn tin rằng nó đang tải tệp chính thống. Điều này cho phép kẻ tấn công cài đặt một trình tải ban đầu, có nhiệm vụ khởi chạy shellcode và tiếp tục tải về shellcode giai đoạn hai được mã hóa dưới dạng tệp hình ảnh PNG.
Đáng chú ý, shellcode giai đoạn hai được phân phối thông qua việc thao túng địa chỉ IP của dictionary[.]com, khiến hệ thống nạn nhân phân giải tên miền này đến máy chủ độc hại dựa trên vị trí địa lý và nhà cung cấp dịch vụ Internet (ISP). Yêu cầu HTTP gửi đi còn kèm theo phiên bản Windows của nạn nhân, cho thấy kẻ tấn công có thể điều chỉnh chiến lược dựa trên hệ điều hành cụ thể.
Hiện chưa xác định được chính xác cách thức Evasive Panda làm sai lệch phản hồi DNS. Tuy nhiên, các chuyên gia nghi ngờ hai kịch bản chính: hoặc ISP của nạn nhân đã bị xâm nhập có chọn lọc, hoặc router và tường lửa tại mạng nạn nhân đã bị tấn công nhằm phục vụ mục đích này.
Một điểm kỹ thuật đáng chú ý là việc sử dụng trình tải phụ libpython2.4.dll, dựa trên một phiên bản python.exe cũ đã được đổi tên. Trình tải này giải mã và nạp phần mềm độc hại từ tệp perf.dat, được mã hóa bằng sự kết hợp tùy chỉnh giữa DPAPI của Microsoft và thuật toán RC5. Cách tiếp cận này đảm bảo dữ liệu chỉ có thể được giải mã trên chính hệ thống bị xâm nhập, gây khó khăn lớn cho việc phân tích và phát hiện.
Kết quả cuối cùng là việc triển khai một biến thể của MgBot, được tiêm vào tiến trình svchost.exe hợp pháp. MgBot có kiến trúc mô-đun, cho phép thu thập tệp, ghi lại thao tác bàn phím, dữ liệu clipboard, luồng âm thanh và thông tin đăng nhập trình duyệt, giúp kẻ tấn công duy trì sự hiện diện bí mật trong thời gian dài.
Theo Kaspersky, chiến dịch này một lần nữa cho thấy năng lực kỹ thuật cao của Evasive Panda, đặc biệt trong việc né tránh các biện pháp bảo mật truyền thống và duy trì quyền truy cập lâu dài vào các hệ thống mục tiêu.(thehackernews)
Evasive Panda còn được theo dõi dưới các tên khác như Bronze Highland, Daggerfly và StormBamboo, và được đánh giá là đã hoạt động ít nhất từ năm 2012. Nhóm này nổi tiếng với việc sử dụng các kỹ thuật tấn công trung gian (Adversary-in-the-Middle – AitM) để xâm nhập có chọn lọc vào các mục tiêu cụ thể.
Theo nhà nghiên cứu Fatih Şensoy của Kaspersky, Evasive Panda thường cài đặt phần mềm độc hại vào các vị trí cụ thể trên hệ thống nạn nhân, đồng thời lưu trữ các thành phần mã hóa của mã độc trên máy chủ do kẻ tấn công kiểm soát. Những thành phần này chỉ được giải mã khi hệ thống gửi các yêu cầu DNS đến những trang web nhất định, khiến việc phát hiện trở nên cực kỳ khó khăn.
Cách Evasive Panda lợi dụng cập nhật phần mềm và đầu độc DNS
Trong các cuộc tấn công được ghi nhận, Evasive Panda đã giả mạo bản cập nhật phần mềm của các ứng dụng hợp pháp, bao gồm dịch vụ xem video SohuVA, iQIYI Video của Baidu, IObit Smart Defrag và Tencent QQ. Một ví dụ điển hình là việc phân phối bản cập nhật độc hại thông qua tên miền p2p.hd.sohu.com[.]cn, cho thấy dấu hiệu rõ ràng của kỹ thuật đầu độc DNS.Theo phân tích, phản hồi DNS của tên miền này có khả năng đã bị thay đổi để trỏ đến máy chủ do tin tặc kiểm soát, trong khi mô-đun cập nhật hợp pháp của ứng dụng vẫn tin rằng nó đang tải tệp chính thống. Điều này cho phép kẻ tấn công cài đặt một trình tải ban đầu, có nhiệm vụ khởi chạy shellcode và tiếp tục tải về shellcode giai đoạn hai được mã hóa dưới dạng tệp hình ảnh PNG.
Đáng chú ý, shellcode giai đoạn hai được phân phối thông qua việc thao túng địa chỉ IP của dictionary[.]com, khiến hệ thống nạn nhân phân giải tên miền này đến máy chủ độc hại dựa trên vị trí địa lý và nhà cung cấp dịch vụ Internet (ISP). Yêu cầu HTTP gửi đi còn kèm theo phiên bản Windows của nạn nhân, cho thấy kẻ tấn công có thể điều chỉnh chiến lược dựa trên hệ điều hành cụ thể.
Hiện chưa xác định được chính xác cách thức Evasive Panda làm sai lệch phản hồi DNS. Tuy nhiên, các chuyên gia nghi ngờ hai kịch bản chính: hoặc ISP của nạn nhân đã bị xâm nhập có chọn lọc, hoặc router và tường lửa tại mạng nạn nhân đã bị tấn công nhằm phục vụ mục đích này.
Một điểm kỹ thuật đáng chú ý là việc sử dụng trình tải phụ libpython2.4.dll, dựa trên một phiên bản python.exe cũ đã được đổi tên. Trình tải này giải mã và nạp phần mềm độc hại từ tệp perf.dat, được mã hóa bằng sự kết hợp tùy chỉnh giữa DPAPI của Microsoft và thuật toán RC5. Cách tiếp cận này đảm bảo dữ liệu chỉ có thể được giải mã trên chính hệ thống bị xâm nhập, gây khó khăn lớn cho việc phân tích và phát hiện.
Kết quả cuối cùng là việc triển khai một biến thể của MgBot, được tiêm vào tiến trình svchost.exe hợp pháp. MgBot có kiến trúc mô-đun, cho phép thu thập tệp, ghi lại thao tác bàn phím, dữ liệu clipboard, luồng âm thanh và thông tin đăng nhập trình duyệt, giúp kẻ tấn công duy trì sự hiện diện bí mật trong thời gian dài.
Theo Kaspersky, chiến dịch này một lần nữa cho thấy năng lực kỹ thuật cao của Evasive Panda, đặc biệt trong việc né tránh các biện pháp bảo mật truyền thống và duy trì quyền truy cập lâu dài vào các hệ thống mục tiêu.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
