Nguyễn Tiến Đạt
Intern Writer
Transparent Tribe, còn được theo dõi với tên APT36, đang bị cáo buộc đứng sau một loạt cuộc tấn công gián điệp mạng mới nhắm vào các cơ quan chính phủ, tổ chức học thuật và lĩnh vực chiến lược của Ấn Độ. Mục tiêu của chiến dịch là xâm nhập lâu dài hệ thống nạn nhân thông qua phần mềm độc hại truy cập từ xa (RAT), cho phép kẻ tấn công kiểm soát, giám sát và đánh cắp dữ liệu trong thời gian dài.
Theo báo cáo kỹ thuật của CYFIRMA, chiến dịch này sử dụng email lừa đảo làm điểm khởi đầu, đính kèm tệp ZIP chứa phím tắt Windows (LNK) được ngụy trang tinh vi dưới dạng tài liệu PDF hợp pháp. Điểm đáng chú ý là nội dung PDF thật được nhúng trực tiếp trong tệp, giúp giảm sự nghi ngờ của người dùng khi mở.
Transparent Tribe là một nhóm APT hoạt động ít nhất từ năm 2013, được đánh giá có liên quan đến lợi ích nhà nước Ấn Độ, và nổi tiếng với các chiến dịch gián điệp mạng nhắm vào các mục tiêu trong khu vực. Trong nhiều năm, nhóm này liên tục mở rộng kho công cụ RAT, bao gồm CapraRAT, Crimson RAT, ElizaRAT và DeskRAT, với khả năng kiểm soát hệ thống ngày càng tinh vi.
CYFIRMA cho biết HTA sử dụng ActiveX và WScript.Shell để tương tác sâu với môi trường Windows, cho phép mã độc phân tích hệ thống mục tiêu theo thời gian thực, từ đó điều chỉnh hành vi nhằm tăng tỷ lệ thực thi thành công. Đây là kỹ thuật phổ biến trong các chiến dịch lạm dụng LOLBin (Living-off-the-Land Binary) như mshta.exe.
Đáng chú ý, mã độc có khả năng tùy biến cơ chế tồn tại (persistence) dựa trên phần mềm chống virus được cài đặt:
Nếu phát hiện Kaspersky, mã độc tạo thư mục làm việc tại C:\Users\Public\core\, ghi payload HTA mã hóa ra đĩa và duy trì hoạt động bằng LNK trong thư mục Startup, gọi lại mshta.exe.
CYFIRMA nhận định APT36 vẫn là một mối đe dọa gián điệp mạng có tổ chức cao, tập trung bền bỉ vào các mục tiêu trọng yếu của Ấn Độ nhằm thu thập thông tin tình báo dài hạn.
Chiến dịch liên quan, C2 và mối liên hệ với Patchwork
Trong một chiến dịch khác gần đây, APT36 bị cho là sử dụng tệp LNK giả PDF tư vấn chính phủ có tên NCERT-Whatsapp-Advisory.pdf.lnk để phát tán trình tải .NET. Trình tải này tải về MSI nikmights.msi từ máy chủ aeroclubofindia.co[.]in, sau đó thực hiện hàng loạt hành động gồm:
DLL này sử dụng các HTTP GET endpoint đảo ngược chuỗi để né phát hiện, bao gồm:
Các chuyên gia nhận định việc xuất hiện StreamSpy cùng các biến thể Spyder cho thấy các nhóm APT khu vực đang liên tục hiện đại hóa kho công cụ, tăng cường khả năng né phát hiện và duy trì hiện diện lâu dài trong hệ thống mục tiêu.(thehackernews)
Theo báo cáo kỹ thuật của CYFIRMA, chiến dịch này sử dụng email lừa đảo làm điểm khởi đầu, đính kèm tệp ZIP chứa phím tắt Windows (LNK) được ngụy trang tinh vi dưới dạng tài liệu PDF hợp pháp. Điểm đáng chú ý là nội dung PDF thật được nhúng trực tiếp trong tệp, giúp giảm sự nghi ngờ của người dùng khi mở.
Transparent Tribe là một nhóm APT hoạt động ít nhất từ năm 2013, được đánh giá có liên quan đến lợi ích nhà nước Ấn Độ, và nổi tiếng với các chiến dịch gián điệp mạng nhắm vào các mục tiêu trong khu vực. Trong nhiều năm, nhóm này liên tục mở rộng kho công cụ RAT, bao gồm CapraRAT, Crimson RAT, ElizaRAT và DeskRAT, với khả năng kiểm soát hệ thống ngày càng tinh vi.
Chuỗi tấn công RAT và kỹ thuật né tránh antivirus
Khi nạn nhân mở tệp LNK giả PDF, hệ thống sẽ kích hoạt mshta.exe để thực thi một kịch bản HTA từ xa. Kịch bản này có nhiệm vụ giải mã và tải trực tiếp RAT vào bộ nhớ, hạn chế dấu vết trên ổ đĩa. Song song đó, một tài liệu PDF giả mạo được mở ra để đánh lạc hướng người dùng.CYFIRMA cho biết HTA sử dụng ActiveX và WScript.Shell để tương tác sâu với môi trường Windows, cho phép mã độc phân tích hệ thống mục tiêu theo thời gian thực, từ đó điều chỉnh hành vi nhằm tăng tỷ lệ thực thi thành công. Đây là kỹ thuật phổ biến trong các chiến dịch lạm dụng LOLBin (Living-off-the-Land Binary) như mshta.exe.
Đáng chú ý, mã độc có khả năng tùy biến cơ chế tồn tại (persistence) dựa trên phần mềm chống virus được cài đặt:
Nếu phát hiện Kaspersky, mã độc tạo thư mục làm việc tại C:\Users\Public\core\, ghi payload HTA mã hóa ra đĩa và duy trì hoạt động bằng LNK trong thư mục Startup, gọi lại mshta.exe.
- Với Quick Heal, nó sử dụng batch script kết hợp LNK trong Startup để gọi payload HTA.
- Nếu phát hiện Avast, AVG hoặc Avira, mã độc sao chép trực tiếp vào Startup và tự động thực thi.
- Trường hợp không phát hiện antivirus quen thuộc, mã độc sử dụng batch script, registry persistence và triển khai RAT trước khi khởi chạy.
CYFIRMA nhận định APT36 vẫn là một mối đe dọa gián điệp mạng có tổ chức cao, tập trung bền bỉ vào các mục tiêu trọng yếu của Ấn Độ nhằm thu thập thông tin tình báo dài hạn.
Chiến dịch liên quan, C2 và mối liên hệ với Patchwork
Trong một chiến dịch khác gần đây, APT36 bị cho là sử dụng tệp LNK giả PDF tư vấn chính phủ có tên NCERT-Whatsapp-Advisory.pdf.lnk để phát tán trình tải .NET. Trình tải này tải về MSI nikmights.msi từ máy chủ aeroclubofindia.co[.]in, sau đó thực hiện hàng loạt hành động gồm:
- Hiển thị PDF giả mạo để đánh lạc hướng nạn nhân.
- Giải mã và ghi DLL vào C:\ProgramData\PcDirvs\pdf.dll và wininet.dll.
- Sao chép và chạy PcDirvs.exe sau 10 giây.
- Thiết lập persistence thông qua Registry, sử dụng PcDirvs.hta để tự khởi động mỗi lần hệ thống bật lên.
DLL này sử dụng các HTTP GET endpoint đảo ngược chuỗi để né phát hiện, bao gồm:
- /retsiger (đăng ký hệ thống)
- /taebtraeh (heartbeat)
- /dnammoc_teg (thực thi lệnh cmd.exe)
- /dnammocmvitna (điều chỉnh hành vi chống VM)
Các chuyên gia nhận định việc xuất hiện StreamSpy cùng các biến thể Spyder cho thấy các nhóm APT khu vực đang liên tục hiện đại hóa kho công cụ, tăng cường khả năng né phát hiện và duy trì hiện diện lâu dài trong hệ thống mục tiêu.(thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
