Nhóm tin tặc UNC4191 phát tán mã độc tự sao chép qua USB

21:20 | 12/12/2022

Nhóm tin tặc UNC4191 (có liên quan đến Trung Quốc) bị phát hiện sử dụng mã độc tự sao chép trên các ổ USB để lây nhiễm các mục tiêu. Theo báo cáo từ Mandiant - thuộc sở hữu của Google thì kỹ thuật này cho phép tin tặc đánh cắp dữ liệu từ các hệ thống air-gapped.

UNC4191 từng bị phát hiện nhắm mục tiêu vào các tổ chức công và tư nhân ở Đông Nam Á, Châu Á-Thái Bình Dương, Châu Âu, Hoa Kỳ và đặc biệt tập trung vào Philippines. Theo kết quả điều tra, nhóm tin tặc này đã sử dụng các dòng mã độc như Mistcloak launcher, Darkdew dropper và Bluehaze launcher. UNC4191 đã triển khai tiện ích NCAT (cho mục đích tải tệp xuống và tải tệp lên) và một reverse shell trên máy mục tiêu, để tạo cửa hậu xâm nhập vào hệ thống.

Chu kỳ lây nhiễm bắt đầu bằng việc người dùng kết nối ổ đĩa di động bị nhiễm với máy của họ, điều này sẽ kích hoạt việc thực thi một phiên bản của ứng dụng USB Network Gate thành side-load Mistcloak. Mã độc này tải một tệp INI có chứa Darkdew, được thiết kế để đeo bám dai dẳng và lây nhiễm các ổ USB khi chúng được kết nối với hệ thống. Mã độc Bluehaze launcher hoạt động ở giai đoạn thứ ba của chuỗi lây nhiễm, sẽ thực thi một tệp NCAT đã được đổi tên và tạo ra một reverse shell cho một máy chủ C&C cố định.

Hiện tại, Mandiant chưa thấy bằng chứng về tương tác reverse shell. Tuy nhiên, dựa trên thời gian hoạt động, điều này có thể do khoảng cách hiển thị hoặc thời gian lưu giữ log ngắn. Các chuyên gia cho rằng chiến dịch đã diễn ra ít nhất là từ tháng 9/2021, tập trung vào việc làm tổn hại các tổ chức công và tư nhân để tiến hành các hoạt động gián điệp mạng liên quan đến lợi ích chính trị và thương mại của Trung Quốc.