Các nhà nghiên cứu bảo mật đã quan sát thấy một nhóm tấn công nhắm vào các công ty trong lĩnh vực nghiên cứu vật liệu bằng bộ công cụ độc đáo bao gồm một trojan truy cập từ xa (RAT) tùy chỉnh có tên là Atharvan.
Tác nhân đe dọa đang được theo dõi dưới tên Clasiopa bởi Symantec, một công ty của Broadcom, công ty mà các nhà phân tích đã tìm thấy manh mối chỉ ra một tác nhân đe dọa Ấn Độ. Tuy nhiên, sự quy kết vẫn chưa rõ ràng vì có rất ít bằng chứng ủng hộ bất kỳ lý thuyết nào.
Mặc dù không có dữ liệu chắc chắn để chỉ ra một véc tơ lây nhiễm ban đầu cụ thể, nhưng các nhà nghiên cứu của Symantec đã tìm thấy những gợi ý cho thấy rằng Clasiopa sử dụng vũ lực để giành quyền truy cập vào các máy chủ công khai.
Symantec báo cáo rằng những kẻ tấn công thực hiện nhiều hành động khác nhau sau khi thỏa hiệp, bao gồm:
Cuộc điều tra của Symantec tiết lộ rằng cùng với cửa hậu của mình, Clasiopa cũng sử dụng phần mềm hợp pháp như Agile DGS và Agile FD, được ký bằng các chứng chỉ cũ.
Các tin tặc đã dựa vào hai cửa hậu để tấn công: Atharvan tùy chỉnh và Lilith RAT mã nguồn mở. Cái sau có thể được sử dụng để thực thi các lệnh, chạy các tập lệnh PowerShell và để thao tác các quy trình trên hệ thống bị vi phạm.
Clasiopa cũng đã sử dụng một công cụ proxy tùy chỉnh và "Thumbsender", một tiện ích liệt kê các tệp trên máy chủ và lưu chúng cục bộ trong cơ sở dữ liệu có thể được trích xuất sau đó tới một địa chỉ IP được chỉ định.
Atharvan là công cụ thú vị nhất được Clasiopa sử dụng vì nó là một cửa hậu tùy chỉnh không thấy trong bất kỳ cuộc tấn công nào khác ngoài tự nhiên.
Khi thực thi, nó tạo ra một mutex để ngăn nhiều quá trình tự chạy và sau đó liên hệ với một địa chỉ lệnh và kiểm soát (C2) được mã hóa cứng ở một vị trí bất thường, cơ sở hạ tầng Dịch vụ web của Amazon ở Seoul, Hàn Quốc.
Dưới đây là mẫu giao tiếp của cửa hậu với máy chủ C2, được định dạng là các yêu cầu HTTP POST tới một máy chủ được cho là hợp pháp, máy chủ cập nhật của Microsoft.
Mẫu yêu cầu HTTP POST của phần mềm độc hại
Một tính năng bất thường khác là nó có thể được định cấu hình để liên lạc theo lịch trình với C2 và thậm chí có thể được đặt để thử kết nối trong những ngày cụ thể trong tuần hoặc trong tháng.
Về khả năng của nó, Atharvan tải xuống các tệp trên máy tính bị xâm nhập, chạy các tệp thực thi, thực thi các lệnh và gửi lại đầu ra của chúng.
Các lệnh được hỗ trợ bởi Atharvan
Các nhà nghiên cứu lưu ý rằng thông tin liên lạc của Atharvan với C2 được bảo vệ bằng cách sử dụng một thuật toán đơn giản để XOR từng byte của bản rõ với giá trị "2" để tạo ra bản mã. Điều này không đạt được kết quả mã hóa mạnh nhưng vẫn có thể giúp phần mềm độc hại trốn tránh một số công cụ giám sát lưu lượng mạng.
Sơ đồ mã hóa đơn giản được sử dụng cho truyền thông C2
Gợi ý chỉ ra một tác nhân đe dọa ở Ấn Độ là một mutex bằng tiếng Hindi mà các nhà nghiên cứu đã phát hiện ra trong cửa hậu tùy chỉnh: "SAPTARISHI-ATHARVAN-101", Atharvan đề cập đến một linh mục huyền thoại trong thần thoại Vệ Đà, con trai của Brahmā, Đấng Tạo Hóa. Một gợi ý khác là mật khẩu mà kẻ tấn công đã sử dụng cho kho lưu trữ ZIP, đó là “iloveindea1998^_^.”
Tuy nhiên, cả hai manh mối rất có thể là một lá cờ giả được dựng lên để ghi nhận sai lầm.
Atharvan backdoor phần lớn không bị phát hiện tại thời điểm này. Chỉ có một mẫu có sẵn trên nền tảng quét VirusTotal và nó được đánh dấu là mối đe dọa chỉ bởi hai công cụ chống vi-rút.
Đầu đề
Các mục tiêu của Clasiopa hiện vẫn chưa rõ ràng nhưng gián điệp mạng dường như là động lực đằng sau các cuộc tấn công. Các nhà nghiên cứu nói rằng tác nhân đe dọa đã nhắm mục tiêu nạn nhân ở châu Á.
Báo cáo của Symantec cung cấp một tập hợp các giá trị băm cho phần mềm độc hại được phát hiện trong các chiến dịch độc hại do Clasiopa.
Các dấu hiệu của sự xâm phạm bao gồm các hàm băm cho hai cửa hậu (Atharvan và Lilith) cũng như các công cụ mà kẻ đe dọa đã sử dụng trong các cuộc tấn công.
Mời quý khách đặt trước (trả sau) để nv tiện gọi lại tư vấn bằng livestream cụ thể cho khách chụp màn hình để đồng kiểm. Công Tắc Công Suất Cao Tuya Wifi 20a Lắp Bình Nóng Lạnh mua ở đây sẽ được bảo hành 36 tháng + bh mở rộng, bh rơi vở vô nước chạm cháy tại trungtambaohanh.com, phục vụ 24/7 tại nhà nhằm đảm bảo tối đa tính an toàn riêng tư dữ liệu cho người dùng, chỉ cần đặt hàng trước 24h quý khách được tặng gói bảo hiểm phần cứng và phần mềm.