Các cuộc tấn công APT điển hình trong năm 2021

13:58 | 24/03/2022

Qua theo dõi các hoạt động của hơn 900 tác nhân đe dọa trong năm 2021, nhóm Nghiên cứu và Phân tích toàn cầu tại Kaspersky đã có những đánh giá cụ thể về các loại hình tấn công trong năm vừa qua. Bài báo dưới đây sẽ chia sẻ với bạn đọc các cuộc tấn công APT điển hình trong năm 2021.

PHẦN MỀM GIÁN ĐIỆP NHẮM MỤC TIÊU VÀO THIẾT BỊ DI ĐỘNG

Đáng chú ý nhất năm 2021 là một cuộc điều tra của Guardian và 16 tổ chức truyền thông khác được công bố vào tháng 7 cho rằng, hơn 30.000 nhà hoạt động nhân quyền, nhà báo và luật sư trên khắp thế giới có thể đã bị nhắm mục tiêu khi sử dụng phần mềm Pegasus. Báo cáo trên được gọi là Dự án Pegasus đã cáo buộc phần mềm này sử dụng nhiều cách khai thác khác nhau, bao gồm các lỗ hổng “zero-click, zero-day” trên iOS.

Dựa trên phân tích pháp lý của nhiều thiết bị di động, các chuyên gia thấy rằng phần mềm này đã được lạm dụng để giám sát. Danh sách người dùng bị nhắm mục tiêu bao gồm 14 nhà lãnh đạo thế giới. Cuối tháng 7/2021, Chính phủ Israel đã làm việc với Tập đoàn công nghệ NSO và bắt đầu công cuộc điều tra. Tháng 10/2021, Ấn Độ cũng đã mở cuộc điều tra xem liệu chính phủ có sử dụng Pegasus để theo dõi công dân của mình hay không. Vào tháng 11/2021, Apple đã thông báo rằng họ đang thực hiện hành động pháp lý chống lại NSO vì đã sử dụng phần mềm độc hại và phần mềm gián điệp để nhắm mục tiêu là người dùng của họ.

Việc phát hiện được dấu vết lây nhiễm từ Pegasus và các phần mềm độc hại di động tiên tiến khác là khó khăn và phức tạp bởi các tính năng bảo mật của các hệ điều hành hiện đại như iOS và Android. Dựa trên quan sát của các chuyên gia, điều này còn phức tạp hơn do việc triển khai phần mềm độc hại là không liên tục và chúng hầu như không để lại dấu vết sau khi khởi động lại. Do khuôn khổ pháp lý yêu cầu bẻ khóa thiết bị, dẫn đến việc phần mềm độc hại sẽ bị xóa khỏi bộ nhớ trong quá trình khởi động lại.

TẤN CÔNG VÀO CHUỖI CUNG ỨNG

Một trong những vụ tấn công chuỗi cung ứng đáng chú ý nhất trong năm 2021 phải kể đến là nhà cung cấp dịch vụ công nghệ thông tin nổi tiếng SolarWinds trở thành nạn nhân của một cuộc tấn công chuỗi cung ứng tinh vi. Orion IT - một giải pháp để giám sát và quản lý cơ sở hạ tầng công nghệ thông tin của khách hàng đã bị xâm phạm, dẫn đến việc tùy chỉnh backdoor Sunburst trên mạng của hơn 18.000 khách hàng SolarWinds, bao gồm nhiều tập đoàn lớn và cơ quan chính phủ ở Bắc Mỹ, châu Âu, Trung Đông và châu Á.

Tuy nhiên không phải tất cả các cuộc tấn công vào chuỗi cung ứng đều tinh vi như vậy. Qua theo dõi của các chuyên gia, nhóm APT có tên là BountyGlad đã xâm nhập cơ quan cấp chứng thực ở Mông Cổ và thay thế phần mềm chứng thực quản lý ứng dụng khách hàng bằng một trình tải xuống độc hại. Cơ sở hạ tầng liên quan đã được xác định và sử dụng trong nhiều sự cố khác bao gồm các cuộc tấn công từ phía máy chủ vào các dịch vụ WebSphere, WebLogic ở Hồng Kông và trình cài đặt Trojanized Flash Player ở phía máy khách.

Trong khi điều tra nguyên nhân, các chuyên gia đã phát hiện ra một gói Trojanized có từ tháng 6/2020. Sau đó, họ xác định được một số công cụ xâm nhập ở dạng plugin đã được triển khai bằng phần mềm độc hại PhantomNet, lần lượt được phân phối bằng các gói Trojanized nói trên.

Vào tháng 4/2021, Codecov - nhà cung cấp các giải pháp bảo vệ mã đã tiết lộ công khai rằng tập lệnh Bash Uploader của họ đã bị xâm phạm và được phân phối cho người dùng trong khoảng thời gian từ ngày 31/01/2021 đến ngày 01/4/2021. Tập lệnh Bash Uploader được Codecov phân phối công khai và nhằm mục đích thu thập thông tin về hành động của người dùng, thu thập báo cáo về mức độ mã và gửi kết quả đến cơ sở hạ tầng Codecov.

Đầu năm nay, các chuyên gia đã phát hiện ra các chiến dịch của nhóm Lazarus bằng cách sử dụng cụm DeathNote được cập nhật. Cuộc điều tra của các chuyên gia đã tiết lộ những dấu hiệu cho thấy Lazarus đang xây dựng khả năng tấn công chuỗi cung ứng. Lazarus đã sử dụng một trình tải xuống có tên là Racket đã được đăng ký bằng cách sử dụng chứng thực bị đánh cắp sau đó xâm nhập vào các máy chủ web dễ bị tấn công và tải lên đó một số tập lệnh để lọc và kiểm soát các phần mềm cấy ghép độc hại trên các máy nạn nhân.

Một APT sử dụng tiếng Trung Quốc chưa từng được biết đến trước đây đã sửa đổi gói cài đặt phần mềm quét dấu vân tay trên một máy chủ phân phối ở một quốc gia ở Đông Á. APT đã sửa đổi tệp cấu hình và thêm DLL có phiên bản .NET của bộ tiêm PlugX vào gói trình cài đặt. Các chuyên gia gọi sự cố chuỗi cung ứng này và biến thể PlugX cụ thể này là SmudgeX.

KHAI THÁC LỖ HỔNG

Vào ngày 02/3/2021, Microsoft đã báo cáo một tác nhân APT mới có tên là HAFNIUM khai thác lỗ hổng zero-day trong Exchange Server. Vào thời điểm đó, ngoài HAFNIUM, một số tác nhân khác cũng đang khai thác chúng. Tính năng đo từ xa của Kaspersky đã tiết lộ sự gia tăng đột biến trong các nỗ lực khai thác các lỗ hổng này sau khi Microsoft tiết lộ công khai và vá lỗi. Trong tuần đầu tiên của tháng 3, các chuyên gia đã xác định được khoảng 1.400 máy chủ được nhắm mục tiêu, trong đó một hoặc nhiều lỗ hổng đã được sử dụng để có được quyền truy cập ban đầu. Theo kết quả đo từ xa của các chuyên gia, hầu hết các nỗ lực khai thác đã được quan sát đối với các máy chủ ở châu Âu và Hoa Kỳ. Một số máy chủ đã bị tấn công nhiều lần bởi các tác nhân đe dọa khác nhau cho thấy việc khai thác đã có sẵn trong nhiều nhóm tin tặc.

Các chuyên gia cũng đã phát hiện ra một chiến dịch đang hoạt động kể từ giữa tháng 3, mục tiêu nhằm vào các tổ chức chính phủ ở châu Âu và châu Á bằng cách sử dụng cùng phương thức khai thác lỗ hổng zero-day trên Exchange. Chiến dịch này đã sử dụng một phần mềm độc hại chưa biết trước đây mà các chuyên gia đặt tên là FourteenHi. Điều tra sâu hơn cho thấy dấu vết của hoạt động liên quan đến các biến thể của phần mềm độc hại này có thời gian một năm. Các chuyên gia cũng tìm thấy sự liên quan trong các hoạt động này với HAFNIUM về cơ sở hạ tầng và TTP cũng như việc sử dụng phần mềm độc hại ShadowPad trong cùng khung thời gian.

Vào ngày 25/01/2021, nhóm phân tích mối đe dọa của Google (TAG) thông báo rằng một kẻ đe dọa do nhà nước bảo trợ đã nhắm mục tiêu vào các nhà nghiên cứu bảo mật. Tin tặc đã sử dụng kỹ nghệ xã hội phức tạp, tiếp cận các nhà nghiên cứu bảo mật thông qua phương tiện truyền thông xã hội và gửi tệp dự án Visual Studio bị xâm phạm; hoặc dụ họ đến trang thông tin cá nhân trên mạng tin tặc, nơi đang đợi chúng khai thác thông tin trên Chrome. Vào ngày 31/3/2021, Google TAG đã phát hành bản cập nhật về hoạt động này cho thấy một làn sóng hồ sơ giả mạo trên mạng xã hội và một công ty mà tin tặc đã thành lập vào giữa tháng 3. Các chuyên gia xác nhận rằng một số cơ sở hạ tầng trên trang thông tin cá nhân của các chuyên gia trùng lặp với báo cáo đã xuất bản trước đây về cụm ThreatNeedle của nhóm Lazarus. Hơn nữa, phần mềm độc hại được Google đề cập khớp với ThreatNeedle - phần mềm độc hại mà các chuyên gia đã theo dõi từ năm 2018.

Mở rộng nghiên cứu của các chuyên gia về khai thác nhắm vào mục tiêu CVE-2021-1732, các chuyên gia đã phát hiện ra một phương pháp khai thác lỗ hổng zero-day khác có thể được sử dụng ở khu vực châu Á - Thái Bình Dương. Phân tích sâu hơn cho thấy rằng sự leo thang của việc khai thác leo thang đặc quyền (EoP) này khả năng đã được sử dụng trong thực tế ít nhất là từ tháng 11/2020. Sau khi xác nhận rằng các chuyên gia thực sự đang xử lý một lỗ hổng zero-day mới, nó đã được đặt tên CVE2021-28310. Các chuyên gia tin rằng các dấu vết còn lại trong quá trình khai thác là CVE-2021-1732 và CVE-2021-28310 được tạo ra bởi cùng một nhà phát triển khai thác là Moses mà các chuyên gia theo dõi. Cho đến nay, các chuyên gia đã xác nhận rằng ít nhất hai kẻ đe dọa được biết đến đã sử dụng cách khai thác do Moses phát triển ban đầu: Bitter APT và Dark Hotel. Dựa trên các dấu vết tương tự, cũng như thông tin thu được từ các bên thứ ba, các chuyên gia tin rằng ít nhất sáu lỗ hổng được quan sát thực tế trong hai năm qua bắt nguồn từ Moses.

Vào ngày 14-15/4/2021, Kaspersky đã phát hiện một làn sóng tấn công có chủ đích nhắm vào nhiều công ty. Các cuộc tấn công đều khai thác chuỗi các lỗ hổng zero-day của Google Chrome và Microsoft Windows. Mặc dù các chuyên gia không thể khai thác việc truy xuất được sử dụng để thực thi mã từ xa (RCE) trong trình duyệt web Chrome, nhưng các chuyên gia có thể tìm và phân tích một khai thác EoP được sử dụng để thoát khỏi hộp kỹ thuật bảo mật và nhận các đặc quyền của hệ thống. Khai thác EoP đã được tinh chỉnh để hoạt động dựa trên các bản dựng mới nhất và nổi bật nhất của Windows 10 (17763 - RS5, 18362 - 19H1, 18363 - 19H2, 19041 - 20H1, 19042 - 20H2) và khai thác hai lỗ hổng riêng biệt trong trung tâm Hệ điều hành Microsoft Windows. Các chuyên gia đã báo cáo các lỗ hổng này cho Microsoft và hai lỗ hổng bảo mật đã được vá vào ngày 08/6/2021.

Cuối năm 2021, các chuyên gia đã phát hiện thêm một làn sóng tấn công sử dụng khai thác leo thang đặc quyền nâng cao ảnh hưởng đến các máy chủ của hệ điều hành Windows. Khi phân tích kỹ hơn, nó chính là lỗ hổng zero-day use-after-free trong Win32k.sys mà các chuyên gia đã báo cáo cho Microsoft và do đó đã được sửa thành CVE-2021-40449. Các chuyên gia đã phân tích phần mềm độc hại có liên quan, được gọi là cụm liên kết MysterySnail và phát hiện thấy các sự liên kết nó với IronHusky APT.

CÁC LỖ HỔNG CHƯƠNG TRÌNH CƠ SỞ

Vào tháng 9/2021, các chuyên gia đã cung cấp thông tin tổng quan về bộ cấy PC FinSpy, không chỉ bao gồm phiên bản Windows mà còn cả phiên bản Linux và macOS. FinSpy là một bộ công cụ giám sát thương mại, nổi tiếng được sử dụng cho mục đích “giám sát hợp pháp”. Trong lịch sử, bộ cài Windows được cài đặt bởi một chương trình phần mềm gián điệp. Phiên bản này đã được phát hiện và nghiên cứu nhiều lần cho đến năm 2018. Kể từ đó, các chuyên gia đã quan sát thấy tỷ lệ phát hiện của FinSpy cho Windows ngày càng giảm. Giữa năm 2019, khi các chuyên gia tìm thấy một máy chủ cung cấp các trình cài đặt này trong số các thiết bị cấy ghép FinSpy Mobile dành cho Android, họ đã phát hiện ra rằng các trình cài đặt có chứa backdoor không hơn gì những bộ cài ở giai đoạn đầu được sử dụng để tải xuống và triển khai thêm trước khi có Trojan FinSpy thực sự. Ngoài các trình cài đặt Trojanized, thì cũng có thể quan sát thấy các trường hợp lây nhiễm liên quan đến việc sử dụng bộ khởi động UEFI hoặc MBR.

Vào cuối Quý 3/2021, các chuyên gia đã xác định được vụ việc sử dụng hai chuỗi lây nhiễm cho các tổ chức chính phủ và công ty viễn thông khác nhau ở Trung Đông. Dữ liệu được truyền đi sử dụng phần mềm rootkit trong hệ điều hành Windows để hỗ trợ một số hoạt động của nó và có khả năng được triển khai liên tục thông qua MBR hoặc bộ khởi động UEFI. Một trong những báo cáo trước đây từ năm 2019 về hoạt động của FruityArmor cho thấy nhóm đe dọa đã sử dụng framework để nhắm mục tiêu vào các tổ chức trên nhiều ngành ở Trung Đông, có thể bằng cách tận dụng một khai thác không xác định trong một ứng dụng nhắn tin làm vật trung gian lây nhiễm. Đáng chú ý là một số tính năng nâng cao rõ ràng trong phần mềm độc hại cũng như việc sử dụng nó trong một hoạt động lâu dài cụ thể chống lại một mục tiêu ngoại giao cấp cao ở Trung Đông.