Ba nhóm tấn công của Trung Quốc đứng sau chiến dịch tấn công mạng nhằm vào các quốc gia Đông Nam Á

Ba nhóm tấn công có liên quan với Trung Quốc đã được ghi nhận thực hiện các chiến dịch tấn công nhằm vào nhiều tổ chức chính phủ tại Đông Nam Á trong một chiến dịch do nhà nước hậu thuẫn mang tên "Crimson Palace", cho thấy sự mở rộng phạm vi hoạt động gián điệp không gian mạng của Trung Quốc.

APT.jpg

Chiến dịch này bao gồm ba nhóm tấn công, được theo dõi với tên: Nhóm Alpha (STAC1248), Nhóm Bravo (STAC1870), và Nhóm Charlie (STAC1305). STAC là viết tắt của "security threat activity cluster" (cụm hoạt động đe dọa an ninh). Được biết các nhóm đối tượng đã khai thác hệ thống của các tổ chức và mạng lưới dịch vụ công trong khu vực để phát tán mã độc và công cụ độc hại, ngụy trang dưới các điểm truy cập tin cậy.

Một điểm đáng chú ý của chiến dịch là việc sử dụng hệ thống của một tổ chức làm điểm chuyển tiếp C&C và nơi lưu trữ công cụ tấn công. Đồng thời, một máy chủ Microsoft Exchange bị xâm nhập của một tổ chức khác đã bị lợi dụng để lưu trữ mã độc.

Trong giai đoạn đầu của các cuộc tấn công diễn ra vào tháng 03/2024 được thực hiện bởi nhóm Bravo, cách hoạt động của nhóm này có nhiều điểm chung với nhóm APT Unfading Sea Haze. Đến khoảng thời gian từ tháng 01/2024 đến tháng 6/2024, một làn sóng tấn công mới của nhóm này đã nhắm vào 11 tổ chức và cơ quan trong khu vực.

Các chuyên gia bảo mật cũng ghi nhận một đợt tấn công khác từ nhóm Charlie (còn gọi là APT Earth Longzhi) được thực hiện từ tháng 9/2023 đến tháng 6/2024. Nhóm này đã sử dụng các framework C&C như Cobalt Strike, Havoc, và XieBroC2 để thực hiện các hành vi độc hại sau khai thác và phát tán các payload bổ trợ như SharpHound nhằm lập bản đồ hạ tầng Active Directory.

Mặc dù mục tiêu chính vẫn là thu thập dữ liệu, tuy nhiên, nhóm Charlie đã tập trung nhiều hơn vào việc thiết lập lại và mở rộng sự xâm nhập vào hệ thống mạng bằng cách vượt qua lớp bảo mật từ phần mềm EDR và khôi phục kết nối khi các cài đặt C&C trước đó bị chặn.

Một yếu tố đáng chú ý khác là việc nhóm Charlie chủ yếu sử dụng kỹ thuật DLL hijacking để thực thi mã độc, một kỹ thuật thường được nhóm Alpha sử dụng, cho thấy có sự chia sẻ kỹ thuật giữa các nhóm tấn công. Các đối tượng tấn công còn sử dụng phần mềm mã nguồn mở như RealBlindingEDR và Alcatraz để vô hiệu hóa các quy trình chống virus và làm mờ các file thực thi (như .exe, .dll, và .sys), nhằm mục đích tránh bị phát hiện.

Cuối cùng, các chuyên gia bảo mật đã ghi nhận mã độc keylogger mới có tên TattleTale, lần đầu xuất hiện vào tháng 8/2023. Mã độc này có khả năng thu thập dữ liệu từ các trình duyệt Google Chrome và Microsoft Edge, đồng thời thu thập tên domain controller và đánh cắp LSA (Local Security Authority) Query Information Policy, nơi chứa thông tin nhạy cảm như chính sách mật khẩu, cài đặt bảo mật và mật khẩu lưu trữ.

Tóm lại, chiến dịch "Crimson Palace" bao gồm ba nhóm tấn công phối hợp với nhau, mỗi nhóm đảm nhiệm một giai đoạn trong chuỗi tấn công: xâm nhập và thu thập thông tin (Nhóm Alpha), thâm nhập sâu vào hệ thống bằng các cơ chế C&C (Nhóm Bravo), và đánh cắp dữ liệu (Nhóm Charlie). Theo nhận định của các chuyên gia, trong suốt quá trình thực hiện chiến dịch, các nhóm tấn công đã liên tục thử nghiệm và nâng cao các kỹ thuật, công cụ. Khi các biện pháp đối phó được triển khai, chúng kết hợp công cụ tự phát triển với các công cụ mã nguồn mở thường được sử dụng bởi các chuyên gia kiểm thử an ninh mạng để duy trì quyền truy cập.

Cùng chuyên mục

Tin khác

Khuyến cáo người tiêu dùng trước vấn nạn lừa đảo hỗ trợ cài đặt xác thực sinh trắc học

Khuyến cáo người tiêu dùng trước vấn nạn lừa đảo hỗ trợ cài đặt xác thực sinh trắc học

Trước tình trạng nhiều người dân gặp khó khăn trong việc xác thực sinh trắc học ngân hàng đối với những giao dịch trực tuyến được quy định, lợi dụng việc đó các đối tượng xấu giả danh nhân viên ngân hàng liên hệ khách hàng bằng các hình thức như gọi điện, nhắn tin, kết bạn qua các mạng xã hội (Zalo, Telegram,…) để hướng dẫn thu thập thông tin sinh trắc học.
Cảnh báo về chiến dịch tấn công có chủ đích vào các hệ thống quan trọng

Cảnh báo về chiến dịch tấn công có chủ đích vào các hệ thống quan trọng

Trong thời gian gần đây, Trung tâm Giám sát an toàn không gian mạng quốc gia ghi nhận các chiến dịch tấn công nhắm vào các tổ chức và doanh nghiệp với mục tiêu chính là tấn công mạng, đánh cắp thông tin và phá hoại hệ thống.
Cảnh báo hoạt động lừa đảo trong kiểm tra an toàn thực phẩm

Cảnh báo hoạt động lừa đảo trong kiểm tra an toàn thực phẩm

Sở Y tế Hà Tĩnh vừa có văn bản gửi các địa phương, đơn vị liên quan thuộc ngành về cảnh báo hoạt động lừa đảo trong kiểm tra an toàn thực phẩm.
Cảnh báo thủ đoạn lừa đảo giao hàng

Cảnh báo thủ đoạn lừa đảo giao hàng

Trong thời gian gần đây, đường dây nóng của Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao Công an tỉnh Bình Phước đã nhận được nhiều thông tin phản ánh của người dân về tội phạm công nghệ cao lừa đảo với thủ đoạn giả nhân viên gọi điện giao hàng sau đó chiếm đoạt tài sản, đã có nạn nhân mất hàng chục triều đồng.
Cảnh giác trước các lời mời chào "làm nhiệm vụ online"

Cảnh giác trước các lời mời chào "làm nhiệm vụ online"

Các đối tượng thường tạo lập các tài khoản mạng xã hội giả mạo, tự xưng là nhân viên hỗ trợ, mạo danh các công ty uy tín để dẫn dụ và hướng dẫn nạn nhân tham gia vào các “dự án” hoặc nhiệm vụ nạp tiền nhận hoa hồng không có thật.
Phạt hai doanh nghiệp dùng tên định danh phát tán tin nhắn, cuộc gọi rác

Phạt hai doanh nghiệp dùng tên định danh phát tán tin nhắn, cuộc gọi rác

Thanh tra Bộ TT&TT đã ra quyết định xử phạt 2 doanh nghiệp vì đã thực hiện các hành vi sai phạm như: Phát tán tin nhắn rác; gửi tin nhắn, gọi điện quảng cáo đến các số điện thoại nằm trong Danh sách không quảng cáo; gọi điện quảng cáo đến các số điện thoại nằm trong Danh sách không quảng cáo.
Tham gia đầu tư tiền ảo, người đàn ông bị lừa mất gần 30 tỷ đồng

Tham gia đầu tư tiền ảo, người đàn ông bị lừa mất gần 30 tỷ đồng

Phòng An ninh mạng và phòng, chống tội phạm sử dụng công nghệ cao, Công an thành phố Hà Nội vừa tiếp nhận tin trình báo của một nạn nhân bị chiếm đoạt số tiền lên đến gần 30 tỷ đồng khi tham gia đầu tư tiền ảo.
Liên tiếp xuất hiện các trò lừa giả danh công an

Liên tiếp xuất hiện các trò lừa giả danh công an

Thủ đoạn của các đối tượng là gọi điện, tự xưng là cán bộ Công an, Cảnh sát khu vực, yêu cầu người dân tải ứng dụng trên điện thoại để làm thủ tục cấp căn cước trực tuyến.
Xem thêm

Đọc nhiều / Mới nhận