Ba nhóm tấn công của Trung Quốc đứng sau chiến dịch tấn công mạng nhằm vào các quốc gia Đông Nam Á

Ba nhóm tấn công có liên quan với Trung Quốc đã được ghi nhận thực hiện các chiến dịch tấn công nhằm vào nhiều tổ chức chính phủ tại Đông Nam Á trong một chiến dịch do nhà nước hậu thuẫn mang tên "Crimson Palace", cho thấy sự mở rộng phạm vi hoạt động gián điệp không gian mạng của Trung Quốc.

APT.jpg

Chiến dịch này bao gồm ba nhóm tấn công, được theo dõi với tên: Nhóm Alpha (STAC1248), Nhóm Bravo (STAC1870), và Nhóm Charlie (STAC1305). STAC là viết tắt của "security threat activity cluster" (cụm hoạt động đe dọa an ninh). Được biết các nhóm đối tượng đã khai thác hệ thống của các tổ chức và mạng lưới dịch vụ công trong khu vực để phát tán mã độc và công cụ độc hại, ngụy trang dưới các điểm truy cập tin cậy.

Một điểm đáng chú ý của chiến dịch là việc sử dụng hệ thống của một tổ chức làm điểm chuyển tiếp C&C và nơi lưu trữ công cụ tấn công. Đồng thời, một máy chủ Microsoft Exchange bị xâm nhập của một tổ chức khác đã bị lợi dụng để lưu trữ mã độc.

Trong giai đoạn đầu của các cuộc tấn công diễn ra vào tháng 03/2024 được thực hiện bởi nhóm Bravo, cách hoạt động của nhóm này có nhiều điểm chung với nhóm APT Unfading Sea Haze. Đến khoảng thời gian từ tháng 01/2024 đến tháng 6/2024, một làn sóng tấn công mới của nhóm này đã nhắm vào 11 tổ chức và cơ quan trong khu vực.

Các chuyên gia bảo mật cũng ghi nhận một đợt tấn công khác từ nhóm Charlie (còn gọi là APT Earth Longzhi) được thực hiện từ tháng 9/2023 đến tháng 6/2024. Nhóm này đã sử dụng các framework C&C như Cobalt Strike, Havoc, và XieBroC2 để thực hiện các hành vi độc hại sau khai thác và phát tán các payload bổ trợ như SharpHound nhằm lập bản đồ hạ tầng Active Directory.

Mặc dù mục tiêu chính vẫn là thu thập dữ liệu, tuy nhiên, nhóm Charlie đã tập trung nhiều hơn vào việc thiết lập lại và mở rộng sự xâm nhập vào hệ thống mạng bằng cách vượt qua lớp bảo mật từ phần mềm EDR và khôi phục kết nối khi các cài đặt C&C trước đó bị chặn.

Một yếu tố đáng chú ý khác là việc nhóm Charlie chủ yếu sử dụng kỹ thuật DLL hijacking để thực thi mã độc, một kỹ thuật thường được nhóm Alpha sử dụng, cho thấy có sự chia sẻ kỹ thuật giữa các nhóm tấn công. Các đối tượng tấn công còn sử dụng phần mềm mã nguồn mở như RealBlindingEDR và Alcatraz để vô hiệu hóa các quy trình chống virus và làm mờ các file thực thi (như .exe, .dll, và .sys), nhằm mục đích tránh bị phát hiện.

Cuối cùng, các chuyên gia bảo mật đã ghi nhận mã độc keylogger mới có tên TattleTale, lần đầu xuất hiện vào tháng 8/2023. Mã độc này có khả năng thu thập dữ liệu từ các trình duyệt Google Chrome và Microsoft Edge, đồng thời thu thập tên domain controller và đánh cắp LSA (Local Security Authority) Query Information Policy, nơi chứa thông tin nhạy cảm như chính sách mật khẩu, cài đặt bảo mật và mật khẩu lưu trữ.

Tóm lại, chiến dịch "Crimson Palace" bao gồm ba nhóm tấn công phối hợp với nhau, mỗi nhóm đảm nhiệm một giai đoạn trong chuỗi tấn công: xâm nhập và thu thập thông tin (Nhóm Alpha), thâm nhập sâu vào hệ thống bằng các cơ chế C&C (Nhóm Bravo), và đánh cắp dữ liệu (Nhóm Charlie). Theo nhận định của các chuyên gia, trong suốt quá trình thực hiện chiến dịch, các nhóm tấn công đã liên tục thử nghiệm và nâng cao các kỹ thuật, công cụ. Khi các biện pháp đối phó được triển khai, chúng kết hợp công cụ tự phát triển với các công cụ mã nguồn mở thường được sử dụng bởi các chuyên gia kiểm thử an ninh mạng để duy trì quyền truy cập.

Cùng chuyên mục

Tin khác

Cẩn trọng trước chiêu trò lừa đảo đặt phòng khách sạn trong cao điểm du xuân

Cẩn trọng trước chiêu trò lừa đảo đặt phòng khách sạn trong cao điểm du xuân

Đầu năm là khoảng thời gian cao điểm khi nhu cầu đi du xuân của người dân tăng cao. Tuy nhiên, đây cũng là một cơ hội để các đối tượng lừa đảo du lịch, bán vé máy bay, vé tàu và phòng khách sạn giả mạo tiếp diễn những chiêu trò của chúng.
Cảnh giác trước thủ đoạn lừa đảo chiếm đoạt tài sản bằng hình thức bói toán, giải hạn online

Cảnh giác trước thủ đoạn lừa đảo chiếm đoạt tài sản bằng hình thức bói toán, giải hạn online

Đầu Xuân năm mới, lợi dụng nhu cầu giải hạn, cầu may và tín ngưỡng, tâm linh của người dân, tình trạng lừa đảo trực tuyến, nhất là lừa đảo tâm linh có nhiều diễn biến phức tạp. Các đối tượng thường sử dụng những chiêu trò tâm lý, đánh vào sự nhẹ dạ, cả tin, mê tín dị đoan và niềm tin mù quáng của một bộ phận người dân để lừa đảo chiếm đoạt tài sản…
Cảnh báo nguy cơ bị kiểm soát điện thoại từ số tài khoản ngân hàng lạ

Cảnh báo nguy cơ bị kiểm soát điện thoại từ số tài khoản ngân hàng lạ

Thời gian gần đây, các cảnh báo về phương thức kiểm soát số điện thoại từ số tài khoản ngân hàng được truyền tay rộng rãi trên mạng xã hội. Chiêu trò mới này đang được nhận định là rất nguy hiểm.
Chiêu trò lừa đảo xem bói, giải hạn online dịp đầu năm 2025

Chiêu trò lừa đảo xem bói, giải hạn online dịp đầu năm 2025

Lợi dụng yếu tố tâm linh vào dịp đầu năm, nhiều người đi khấn bái với mong muốn năm mới bình an, phát tài, tình trạng xem bói online liên tục nở rộ, nhiều đối tượng xấu "tát nước theo mưa", dùng những lời lẽ đe dọa khiến nạn nhân sợ hãi, dẫn đến mù quáng, tiền mất tật mang.
Tăng xử lý vi phạm về bảo vệ người tiêu dùng, kinh doanh đa cấp

Tăng xử lý vi phạm về bảo vệ người tiêu dùng, kinh doanh đa cấp

Văn phòng Bộ Công Thương vừa có Văn bản số 592/BCT-VP gửi các đơn vị thuộc Bộ, Sở Công Thương các tỉnh, thành phố trực thuộc Trung ương thông báo ý kiến chỉ đạo của Bộ trưởng Bộ Công Thương về tăng cường quản lý cạnh tranh, bảo vệ quyền lợi người tiêu dùng, hoạt động kinh doanh theo phương thức đa cấp.
Tái xuất chiêu trò mạo danh bệnh viện kêu gọi từ thiện để lừa đảo

Tái xuất chiêu trò mạo danh bệnh viện kêu gọi từ thiện để lừa đảo

Theo Cục An toàn thông tin (Bộ Thông tin và Truyền thông), Ban Giám đốc Bệnh viện Chấn thương Chỉnh hình TPHCM vừa phát đi cảnh báo về việc giả mạo y, bác sĩ bệnh viện để lừa đảo theo hình thức đánh vào lòng thương cảm của người dân.
Cẩn trọng trước các quảng cáo tour du lịch siêu khuyến mãi dịp Tết Nguyên đán

Cẩn trọng trước các quảng cáo tour du lịch siêu khuyến mãi dịp Tết Nguyên đán

Kỳ nghỉ Tết Nguyên đán năm nay kéo dài 9 ngày, nhu cầu đi du lịch theo dạng tour trọn gói và tự túc các dịch vụ như vé máy bay, khách sạn… vì thế cũng gia tăng. Tuy nhiên, bên cạnh loạt chương trình ưu đãi, khuyến mãi, giảm giá dịp lễ, Tết được nhiều đơn vị kinh doanh du lịch tung ra để thu hút khách, thị trường cũng đồng thời xuất hiện nhiều chiêu trò lừa đảo với thủ đoạn ngày càng tinh vi, đặc biệt trên nền tảng trực tuyến.
Bảo đảm an toàn thực phẩm dịp Tết Nguyên đán và Lễ hội Xuân

Bảo đảm an toàn thực phẩm dịp Tết Nguyên đán và Lễ hội Xuân

Phó Chủ tịch UBND TP Hà Nội Vũ Thu Hà đã ký ban hành Văn bản số 310/UBND-KGVX ngày 26/01/2025 về việc thực hiện Công điện số 05/CĐ-TTg ngày 22/1/2025 của Thủ tướng Chính phủ.
Xem thêm

Đọc nhiều / Mới nhận