Biến thể phần mềm độc hại mới có chế độ “im lặng vô tuyến” để tránh bị phát hiện

Nhóm tấn công gián điệp mạng Sharp Panda đang nhắm mục tiêu vào các tổ chức chính phủ cấp cao ở Việt Nam, Thái Lan và Indonesia bằng một phiên bản mới của khung phần mềm độc hại 'Soul'.

Phần mềm độc hại cụ thể trước đây đã được nhìn thấy trong các chiến dịch gián điệp nhắm mục tiêu vào các tổ chức quan trọng ở Đông Nam Á, được quy cho các APT Trung Quốc khác nhau.

Check Point  đã xác định một chiến dịch mới sử dụng phần mềm độc hại bắt đầu vào cuối năm 2022 và tiếp tục đến năm 2023, sử dụng các cuộc tấn công lừa đảo trực tuyến để thỏa hiệp ban đầu.

Việc sử dụng bộ công cụ RoyalRoad RTF, địa chỉ máy chủ C2 và giờ làm việc của tin tặc đã cho phép Check Point quy hoạt động gián điệp mới nhất cho tin tặc Trung Quốc do nhà nước hậu thuẫn. Các TTP và công cụ phù hợp với các hoạt động đã thấy trước đây của Sharp Panda.

Chuỗi lây nhiễm

Chiến dịch Sharp Panda mới sử dụng các email lừa đảo có đính kèm tệp DOCX độc hại triển khai bộ công cụ RoyalRoad RTF nhằm cố gắng khai thác các lỗ hổng cũ hơn để thả phần mềm độc hại vào máy chủ.

Trong trường hợp này, lỗ hổng tạo ra một tác vụ theo lịch trình, sau đó loại bỏ và thực thi trình tải xuống phần mềm độc hại DLL, trình tải xuống này sẽ tìm nạp và thực thi tệp DLL thứ hai từ máy chủ C2, trình tải SoulSearcher.

DLL thứ hai này tạo khóa đăng ký có giá trị chứa tải trọng nén cuối cùng, sau đó giải mã và tải cửa hậu mô-đun Soul vào bộ nhớ, giúp nó tránh bị các công cụ chống vi-rút chạy trên hệ thống bị xâm phạm phát hiện.

Chuỗi lây nhiễm 

Sau khi thực thi, mô-đun chính của phần mềm độc hại Soul sẽ thiết lập kết nối với C2 và chờ các mô-đun bổ sung sẽ mở rộng chức năng của nó.

Phiên bản mới được Check Point phân tích có chế độ “im lặng vô tuyến” cho phép kẻ đe dọa chỉ định giờ cụ thể trong tuần mà cửa hậu không được giao tiếp với máy chủ chỉ huy và kiểm soát, có khả năng tránh bị phát hiện trong giờ làm việc của nạn nhân.

"Đây là một tính năng OpSec nâng cao cho phép các tác nhân kết hợp luồng giao tiếp của họ với lưu lượng chung và giảm khả năng phát hiện giao tiếp mạng." giải thích Điểm kiểm tra.

Cấu hình backdoor chính

Ngoài ra, biến thể mới triển khai giao thức truyền thông C2 tùy chỉnh sử dụng các phương thức yêu cầu HTTP khác nhau, bao gồm GET, POST và DELETE.

Hỗ trợ nhiều phương thức HTTP giúp phần mềm độc hại linh hoạt, vì GET được sử dụng để truy xuất dữ liệu, POST để gửi dữ liệu.

Giao tiếp của Soul với C2 bắt đầu bằng cách tự đăng ký và gửi dữ liệu dấu vân tay của nạn nhân (chi tiết phần cứng, loại hệ điều hành, múi giờ, địa chỉ IP), sau đó nó đi vào một vòng liên hệ C2 vô tận.

Dữ liệu liệt kê nạn nhân 

Các lệnh mà nó có thể nhận được trong các giao tiếp này liên quan đến việc tải các mô-đun bổ sung, thu thập và gửi lại dữ liệu liệt kê, khởi động lại giao tiếp C2 hoặc thoát khỏi quy trình của nó.

Các lệnh được hỗ trợ bởi Soul 

Check Point không lấy mẫu các mô-đun bổ sung có thể thực hiện các chức năng chuyên biệt hơn như thao tác với tệp, lọc dữ liệu, ghi nhật ký bàn phím, chụp ảnh màn hình, v.v.

Khuôn khổ Soul được nhìn thấy lần đầu tiên vào năm 2017 và sau đó được theo dõi trong suốt năm 2019 trong các chiến dịch gián điệp của Trung Quốc được thực hiện bởi các tác nhân đe dọa không có liên kết rõ ràng với Sharp Panda.

Bất chấp sự chồng chéo trong việc sử dụng công cụ, những phát hiện gần đây của Check Point cho thấy Soul vẫn đang được phát triển và triển khai tích cực.

Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.