APT41- EarthBaku tiến hành chiến dịch tấn công quy mô lớn

APT41- EarthBaku tiến hành chiến dịch tấn công quy mô lớn

Earth Baku đã và đang mở rộng phạm vi tấn công từ khu vực Ấn Độ Dương - Thái Bình Dương sang khu vực châu Âu, Trung Đông và châu Phi.

1. Tóm tắt

  • EarthBaku (Hay còn được biết với cái tên APT41) đã mở rộng phạm vi hoạt động trên toàn khu vực Ấn Độ Dương - Thái Bình Dương sang khu vực châu Âu, Trung Đông và châu Phi - cụ thể các quốc gia như Ý, Đức, UAE, Qatar với các hoạt động đáng nghi tại Georgia và Romania.

  • Nhóm này sử dụng các ứng dụng công khai như các máy chủ IIS làm điểm xâm nhập, triển khai các bộ công cụ phần mềm độc hại tiên tiến như webshell Godzilla, StealthVector, StealthReacher và SneakCross

  • StealthVector và StealthReacher là các loader tùy chỉnh để thực hiện cài đặt backdoor, đồng thời dùng các kỹ thuật mã hóa AES và giấu thông tin mã nguồn của mã độc. SneakCross là backdoor mới nhất của APT41, sử dụng các dịch vụ của Google để thực hiện các hoạt động C2C và có thể tự động cập nhật.

  • Sau khi khai thác thành công mục tiêu, Earth Baku sử dụng các công cụ như Iox, Rakshasa và Tailscale để duy trì tính ổn định của mã độc, cùng với MEGAcmd để trích xuất dữ liệu

2. Mục tiêu APT41 nhắm tới

Ban đầu mục tiêu của APT41 vào khu vực Ấn Độ Dương - Thái Bình Dương với các chiến dịch trước đó, Earth Baku đã bắt đầu mở rộng sự hiện diện của mình sang châu Âu, Trung Đông và châu Phi, bao gồm các quốc gia như Ý, Đức, UAE và Qatar. Hơn nữa, các chuyên gia bảo mật TrendMicro cũng đã phát hiện thấy các kết nối đến cơ sở hạ tầng của nhóm này có nguồn gốc từ Georgia và nhiều bộ công cụ chứa phần mềm độc hại được tải lên từ Romania. Do đó, hai quốc gia này cũng có khả năng đang bị đe dọa về vấn đề an toàn thông tin mạng. Hình ảnh dưới đây cho thấy tất cả các khu vực có thể đang bị Earth Baku nhắm tới.

Hơn nữa, các lĩnh vực mà đang bị nhắm tới bao gồm:

  • Khối Chính phủ

  • Khối Truyền thông

  • Khối Viễn thông

  • Các ngành công nghệ

  • Dịch vụ chăm sóc sức khỏe

  • Ngành giáo dục

3. Phương thức lây nhiễm

Trong các hoạt động gần đây, các cuộc tấn công của Earth Baku đã khai thác các ứng dụng công khai, đặc biệt là các máy chủ IIS, làm điểm xâm nhập. Sau khi những kẻ tấn công giành được quyền truy cập, chúng triển khai webshell Godzilla, cho phép chúng duy trì quyền kiểm soát máy chủ bị xâm nhập. Thông qua Godzilla, Earth Baku có thể triển khai bộ nạp shellcode StealthVector và backdoor của, Cobalt Strike, cùng với backdoor mới có tên là SneakCross.

Trong giai đoạn sau khai thác hoàn tất, Earth Baku xây dựng các kênh truyền kết nối bí mật để duy trì quyền kiểm soát bằng cách sử dụng các công cụ tạo kết nối mạng bí mật. Ngoài ra, phía TrendMicro đã theo dõi và thấy rằng công cụ MEGAcmd được triển khai vào môi trường của nạn nhân, có khả năng để trích xuất dữ liệu.

4. Phân tích kỹ thuật

Phần dưới đây sẽ liệt kê các thành phần chính về các loại mã độc mà nhóm APT41 này sử dụng phục vụ cho việc tấn công và khai thác dữ liệu của nạn nhân.

Loader: StealthVector và StealthReacher

StealthVector là một loại khởi tạo backdoor nhằm mục đích để khởi tạo một backdoor khác của EarthBaku trong chế độ ẩn danh. Trong năm nay, EarthBaku đã thực hiện thêm 2 loại Loader mới nhằm mục đích tạo backdoor cho chính nó mang tên: CobaltStrike và SneakCross (hay còn được biết với tên gọi MoonWalk)

StealthVector mới

StealthVector mới rất giống với phiên bản được phát hiện vào năm 2021. Mặc dù cấu trúc cấu hình thay đổi không nhiều, nhưng hiện tại nó sử dụng AES làm thuật toán mã hóa thay vì ChaCha20. Trong một số loại biến thể khác có sử dụng một trình ảo hóa mã nhằm xáo trộn mã nguồn, khiến phần mềm độc hại khó phân tích hơn và bản thân các loại mã độc trên cũng được thiết kế thêm các cơ chế nhằm tránh khỏi sự phát hiện của các biện pháp bảo mật hiện nay

StealthReacher

StealthReacher (còn được gọi là DodgeBox) có thể được coi là một biến thể nâng cao của StealthVector, với các kỹ thuật ẩn mã như FNV1-a và các cơ chế né tránh phòng thủ khác. So với StealthVector cũ, nó sử dụng thuật toán AES để mã hóa và hàm băm MD5 cho kiểm tra tổng. Dựa trên các quan sát của chúng tôi, StealthReacher là bộ nạp được chỉ định để khởi chạy cửa hậu mô-đun mới, SneakCross. Đáng chú ý là cả StealthVector và StealthReacher đều thực hiện mã hóa lại sau lần khởi tạo đầu tiên bằng mã hóa XOR, với khóa là tên máy tính của nạn nhân. Từ góc độ điều tra số, việc giải mã và phân tích payload thu thập được rất khó khăn ngay cả khi tất cả các thành phần loader và payload được thu thập cùng lúc.

Backdoor: SneakCross

SneakCross là một loại backdoor mới sử dụng dịch vụ của Google để thực hiện kết nối C&C. Nó sử dụng Windows Fibers để né tránh sự phát hiện từ các sản phẩm bảo vệ mạng và các giải pháp EDR. Có thể thấy rằng SneakCross là phiên bản kế nhiệm của module backdoor trước đó, ScrambleCross.

5. IOCs

Dưới đây là bảng IOC của các tệp độc hại

Tên fileSHA256
Trojan.Win64.STEALTHVECTOR.ZYLH7e63c6b9ab3b32beffbc1eb23d6ca7cc59616b0722f0dd4f0d893c0a1724f5d7
Trojan.Win64.STEALTHVECTOR.ZYLH8405d742405d3a6d3bda6bc49630dd5f3604a3d6ae27cbd533e425f8abbaafdc
Trojan.Win64.STEALTHVECTOR.ZYLHa50f85c71b69563ba42bf04c937e1063244ca4957231d3adac76f1c96ab42d3c
Trojan.Win64.STEALTHVECTOR.ZALGab56501167fe689fe55f6e6ddc3bb91952299bd5c3ef004b02bf1c3b4061c7cf
Trojan.Win64.STEALTHVECTOR.Eec10a9396dca694fe64366e0dab82d046cf92457f97efd50a68ceb85adef6b74
Trojan.Win64.STEALTHVECTOR.ZYLH73eaba82ef1c502448e533007e92b1afa879b09f85f28b71648668ea62839ff5
Trojan.Win64.STEALTHVECTOR.ZYLH0faddbe1713455e3fc9777ec45adf07b28e24f4c3ddca37586c2aa6b539898c0
Trojan.Win64.STEALTHVECTOR.ZYLH1c88150ec85a07c3db5f18c5eedcb0b653467b897af01d690ed996e5e07ba8e3
Trojan.Win64.STEALTHVECTOR.ZYLH3e52c310c6556367ff9e18448bc41719e603d1cbbdafdcba736c6565529617b6
Trojan.Win64.STEALTHVECTOR.ZYLH07aa971f0791b06dd442d4c7a49c1d3d27a1cbb16602f731e870b5ef50edf69e
Trojan.Win64.STEALTHVECTOR.ZBLG166b6dcdac31f4bf51e4b20a7c3f7d4f7017ca0c30fa123d5591e25c3fa66107
Trojan.Win64.STEALTHVECTOR.E21fc0f50d545c0a373380934dc61c423c8a31d8c3e6eae4f8a35149ad9962d88
Trojan.Win64.STEALTHREACHER.ZYLH7586e58a569c2a07d0b3a710616f48833a040bf3fc57628bbdec7fcb462d565a
Trojan.Win64.STEALTHREACHER.ZYLH22a50cea6ad67a7e8582d2cd4cdc3eaaf57c0fbe8cd062a9b15710166e255a86
Trojan.Win64.STEALTHREACHER.ZBLHc6a3a1ea84251aed908702a1f2a565496d583239c5f467f5dcd0cfc5bfb1a6db
Trojan.Win64.STEALTHREACHER.ZYLH073b35ecbd1833575fbfb1307654fc532fd938482e09426cfb0541ad87a04f75
Trojan.Win64.STEALTHVECTOR.ZYLH7463700ec5768d4af6549028465f978059611555aa8e22e2b7c664b1cdbfa9ae
Trojan.Win64.STEALTHVECTOR.ZYLHcdcbd9c25e06ac6da5497fa19459d0007449ec1a3e6bc591334db6fb3598aecb
Trojan.Win64.STEALTHVECTOR.ZYLH7f24bc080281d250ec88493e5803e488721a17c9382cd54ba8dfbcb785f23a88
Backdoor.Win64.COBEACON.ZYLHe4360c0aa995e6e896b22bb7725a6c9b189be8606e7cbbc8b6e80c606358649d
Backdoor.Win64.COBEACON.ZALH83de8917bf0ac1d670acf27431015215db872b7291979312dd65e30d99806abb
Backdoor.Win64.COBEACON.ZYLHec5a96f42aeccdf9a3ae4c3650689606c8539fd65c0b47f30887afecb901be43
Backdoor.Win64.SNEAKCROSS.ZBLGc02accc26a389397fb172f83258baa8a974986ffd706ba708a3b0a679f61be56
Backdoor.Win64.COBEACON.ZBLF.ence5f1360d4c299bb32e33e081115f2b520251a983af2ebc649b4b9b70308246fe

Dưới đây là bảng các IOC chứa Domain và IP độc hại

LoạiĐịa chỉ URL/IP
Domainwww[.]mircoupdate[.]https443[.]net
Domainicy-bar-c375.microsoft-updates.workers[.]dev
Domainsitennews[.]com
Domainupdate-chrome.realgodad.workers[.]dev
Domaintrack.cdn78544[.]ru
Domaincdn7854.workers[.]dev
Domainshrill-tooth-b557.vgfjuic.workers[.]dev
IP5.182.207[.]28
IP78.108.216[.]20
IP212.87.212[.]115

6. Tham khảo