Vina Aspire > Tin quốc tế > Tin tặc nhắm vào nhà báo bằng phần mềm độc hại Goldbackdoor

Tin tặc nhắm vào nhà báo bằng phần mềm độc hại Goldbackdoor

Một chiến dịch của APT37 sử dụng một phần mềm độc hại tinh vi để lấy cắp thông tin về các nguồn, được cho là kế thừa từ Bluelight.

Các tin tặc tinh vi này được cho là có liên hệ với chính phủ Triều Tiên đang tích cực nhắm mục tiêu vào các nhà báo bằng phần mềm độc hại mới có tên Goldbackdoor. Các cuộc tấn công bao gồm chiến dịch lây nhiễm đa tầng với mục tiêu cuối cùng là đánh cắp thông tin riêng tư từ các mục tiêu. Các nhà nghiên cứu đã phát hiện ra rằng chiến dịch này được cho là đã bắt đầu vào tháng 3 và đang diễn ra.

Các nhà nghiên cứu tại Stairwell đã theo dõi một báo cáo ban đầu từ NK News của Hàn Quốc, trong đó tiết lộ rằng một APT của Triều Tiên được gọi là APT37 đã đánh cắp thông tin từ máy tính riêng của một cựu quan chức tình báo Hàn Quốc. Theo báo cáo, kẻ đe dọa – còn được gọi là Ricochet Collima, InkySquid, Reaper hoặc ScarCruft – đã cố gắng mạo danh NK News và phát tán thứ có vẻ là một phần mềm độc hại mới nhằm vào các nhà báo đang sử dụng chính thức này làm nguồn tin.

NK News đã chuyển thông tin chi tiết cho Stairwell để điều tra thêm. Các nhà nghiên cứu từ công ty an ninh mạng đã phát hiện ra các chi tiết cụ thể của phần mềm độc hại, được gọi là Goldbackdoor. Phần mềm độc hại này có khả năng là người kế nhiệm của phần mềm độc hại Bluelight, theo một báo cáo mà họ đã công bố vào cuối tuần trước.

Các nhà nghiên cứu viết: “Phần mềm độc hại Goldbackdoor chia sẻ sự trùng lặp kỹ thuật mạnh mẽ với phần mềm độc hại Bluelight. “Những chồng chéo này, cùng với tài nguyên phát triển được chia sẻ bị nghi ngờ và việc mạo danh NK News, hỗ trợ cho việc phân bổ Goldbackdoor của chúng tôi đối với APT37.”

APT37 trước đó được nhìn thấy sử dụng Bluelight làm trọng tải phụ vào tháng 8 năm ngoái trong một loạt các cuộc tấn công lỗ hổng chống lại một tờ báo Hàn Quốc sử dụng các lỗ hổng Internet Explorer đã biết.

Như các nhà nghiên cứu của Stairwell đã lưu ý, các nhà báo là “mục tiêu có giá trị cao đối với các chính phủ thù địch” và thường là mục tiêu của các cuộc tấn công gián điệp mạng. Trên thực tế, một trong những câu chuyện bảo mật lớn nhất của năm ngoái là việc các chính phủ khác nhau sử dụng phần mềm gián điệp Pegasus của NGO Group chống lại các nhà báo, trong số các mục tiêu khác.

Các nhà nghiên cứu của Stairwell viết: “[Nhà báo] thường là người tổng hợp các câu chuyện của nhiều cá nhân – đôi khi bao gồm cả những người có khả năng tiếp cận nhạy cảm. “Thỏa hiệp với một nhà báo có thể cung cấp quyền truy cập vào thông tin nhạy cảm cao và kích hoạt các cuộc tấn công bổ sung chống lại các nguồn của họ.”

Phần mềm độc hại nhiều giai đoạn

Các nhà nghiên cứu đã viết: Các tin nhắn được gửi từ email cá nhân của một cựu giám đốc Cơ quan Tình báo Quốc gia Hàn Quốc, NIS.

“Một trong những tạo tác này là một mẫu phần mềm độc hại mới mà chúng tôi đặt tên là Goldbackdoor, dựa trên một tạo tác phát triển được nhúng,” họ viết.

Các nhà nghiên cứu cho biết Goldbackdoor là một phần mềm độc hại nhiều giai đoạn tách biệt công cụ giai đoạn đầu tiên và phần tải trọng cuối cùng, cho phép kẻ đe dọa tạm dừng triển khai sau khi các mục tiêu ban đầu bị nhiễm.

Họ viết trong báo cáo: “Ngoài ra, thiết kế này có thể hạn chế khả năng tiến hành phân tích hồi cứu một khi tải trọng bị loại bỏ khỏi cơ sở hạ tầng kiểm soát”.

Phần mềm độc hại, giống như Bluelight trước đó, sử dụng các nhà cung cấp dịch vụ đám mây để nhận lệnh tác nhân và lấy dữ liệu. Mẫu được các nhà nghiên cứu phân tích cụ thể đã sử dụng Microsoft OneDrive và API đồ thị, trong khi hàm băm SHA256 mẫu được xác định bổ sung sử dụng Google Drive.

Các nhà nghiên cứu cho biết được nhúng bên trong phần mềm độc hại là một tập hợp các khóa API được sử dụng để xác thực dựa trên nền tảng điện toán đám mây Azure của Microsoft và truy xuất các lệnh để thực thi.

Họ viết: “Goldbackdoor cung cấp cho những kẻ tấn công khả năng thực thi lệnh từ xa cơ bản, tải xuống / tải lên tệp, ghi khóa và khả năng gỡ cài đặt từ xa. “Chức năng và cách triển khai này rất phù hợp với Bluelight; tuy nhiên, sự tập trung ngày càng tăng dường như đã được đặt vào việc thu thập tệp và ghi nhật ký tài khoản. ”

Giai đoạn một

Goldbackdoor là một phần mềm độc hại tinh vi được các nhà nghiên cứu chia thành hai giai đoạn. Trong giai đoạn một, nạn nhân phải tải xuống tệp ZIP từ một trang web bị xâm nhập, https [:] // main [.] Dailynk [.] Us / regex? Id = oTks2 & file = Kang Min-chol Edits2.zip, tệp này sẽ thực thi nén Phím tắt Windows.

Tên miền dailynk[.]us có thể mạo danh NK News (dailynk[.]com) và trước đó đã được APT37 sử dụng trong một chiến dịch trước đó.

Họ đã truy xuất tệp ZIP; xác định rằng tệp được tạo vào ngày 17 tháng 3 và chứa một tệp lối tắt LNK của Windows 282,7 MB có tên Kang Min-chol Edits, có thể là tham chiếu đến Kang Min-chol, Bộ trưởng Bộ Công nghiệp Khai thác của Triều Tiên.

Sau khi được thực thi, LNK sẽ thực thi một tập lệnh PowerShell để viết và mở một tài liệu mồi nhử như Microsoft Word trước khi bắt đầu quá trình triển khai Goldbackdoor, các nhà nghiên cứu cho biết.

Giai đoạn hai

Sau khi triển khai tài liệu mồi nhử, tập lệnh PowerShell giải mã tập lệnh PowerShell thứ hai, sau đó sẽ tải xuống và thực thi tải trọng shellcode XOR — có tên là “Fantasy” được lưu trữ trên Microsoft OneDrive.

Các nhà nghiên cứu cho biết: “Tải trọng ảo đó là giai đoạn thứ hai trong quy trình của phần mềm độc hại và là giai đoạn đầu tiên trong quy trình cuối cùng gồm hai phần để triển khai Goldbackdoor. Cả hai phần đều được viết bằng mã không phụ thuộc vào vị trí (shellcode) có chứa trọng tải được nhúng và sử dụng quá trình chèn để triển khai Goldbackdoor,”

Fantasy phân tích cú pháp và giải mã tải trọng và sử dụng một quy trình tiêu chuẩn liên quan đến VirtualAllocEx, WriteProcessMemory và RtlCreateUserThread để tạo ra một luồng trong quy trình đã tạo trước đó để thực thi nó.

Giọt nước tràn ly là khi shellcode payload (một phần của Malware – phần mềm độc hại) chạy như một chuỗi trong một quy trình do Fantasy tạo ra để thực hiện việc triển khai cuối cùng của phần mềm độc hại.

Các nhà nghiên cứu nói: “Trọng tải được phân phối bởi giai đoạn này là tệp PE có thể thực thi Windows Portable cho Goldbackdoor

Vina Aspire là đơn vị tư vấn, cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng

Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:

Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com

Vina Aspire – Vững bảo mật, trọn niềm tin

Nguồn: https://threatpost.com/hackers-target-journalists-goldbackdoor/179389/


Bài viết liên quan

About Us

Learn More

Vina Aspire is a leading Cyber Security & IT solution and service provider in Vietnam. Vina Aspire is built up by our excellent experts, collaborators with high-qualification and experiences and our international investors and partners. We have intellectual, ambitious people who are putting great effort to provide high quality products and services as well as creating values for customers and society.

may ao thun Kem sữa chua May o thun May o thun đồng phục Định cư Canada Dịch vụ kế ton trọn gi sản xuất đồ bộ
Translate »