APT41- EarthBaku tiến hành chiến dịch tấn công quy mô lớn
Earth Baku đã và đang mở rộng phạm vi tấn công từ khu vực Ấn Độ Dương - Thái Bình Dương sang khu vực châu Âu, Trung Đông và châu Phi.
1. Tóm tắt
EarthBaku (Hay còn được biết với cái tên APT41) đã mở rộng phạm vi hoạt động trên toàn khu vực Ấn Độ Dương - Thái Bình Dương sang khu vực châu Âu, Trung Đông và châu Phi - cụ thể các quốc gia như Ý, Đức, UAE, Qatar với các hoạt động đáng nghi tại Georgia và Romania.
Nhóm này sử dụng các ứng dụng công khai như các máy chủ IIS làm điểm xâm nhập, triển khai các bộ công cụ phần mềm độc hại tiên tiến như webshell Godzilla, StealthVector, StealthReacher và SneakCross
StealthVector và StealthReacher là các loader tùy chỉnh để thực hiện cài đặt backdoor, đồng thời dùng các kỹ thuật mã hóa AES và giấu thông tin mã nguồn của mã độc. SneakCross là backdoor mới nhất của APT41, sử dụng các dịch vụ của Google để thực hiện các hoạt động C2C và có thể tự động cập nhật.
Sau khi khai thác thành công mục tiêu, Earth Baku sử dụng các công cụ như Iox, Rakshasa và Tailscale để duy trì tính ổn định của mã độc, cùng với MEGAcmd để trích xuất dữ liệu
2. Mục tiêu APT41 nhắm tới
Ban đầu mục tiêu của APT41 vào khu vực Ấn Độ Dương - Thái Bình Dương với các chiến dịch trước đó, Earth Baku đã bắt đầu mở rộng sự hiện diện của mình sang châu Âu, Trung Đông và châu Phi, bao gồm các quốc gia như Ý, Đức, UAE và Qatar. Hơn nữa, các chuyên gia bảo mật TrendMicro cũng đã phát hiện thấy các kết nối đến cơ sở hạ tầng của nhóm này có nguồn gốc từ Georgia và nhiều bộ công cụ chứa phần mềm độc hại được tải lên từ Romania. Do đó, hai quốc gia này cũng có khả năng đang bị đe dọa về vấn đề an toàn thông tin mạng. Hình ảnh dưới đây cho thấy tất cả các khu vực có thể đang bị Earth Baku nhắm tới.
Hơn nữa, các lĩnh vực mà đang bị nhắm tới bao gồm:
Khối Chính phủ
Khối Truyền thông
Khối Viễn thông
Các ngành công nghệ
Dịch vụ chăm sóc sức khỏe
Ngành giáo dục
3. Phương thức lây nhiễm
Trong các hoạt động gần đây, các cuộc tấn công của Earth Baku đã khai thác các ứng dụng công khai, đặc biệt là các máy chủ IIS, làm điểm xâm nhập. Sau khi những kẻ tấn công giành được quyền truy cập, chúng triển khai webshell Godzilla, cho phép chúng duy trì quyền kiểm soát máy chủ bị xâm nhập. Thông qua Godzilla, Earth Baku có thể triển khai bộ nạp shellcode StealthVector và backdoor của, Cobalt Strike, cùng với backdoor mới có tên là SneakCross.
Trong giai đoạn sau khai thác hoàn tất, Earth Baku xây dựng các kênh truyền kết nối bí mật để duy trì quyền kiểm soát bằng cách sử dụng các công cụ tạo kết nối mạng bí mật. Ngoài ra, phía TrendMicro đã theo dõi và thấy rằng công cụ MEGAcmd được triển khai vào môi trường của nạn nhân, có khả năng để trích xuất dữ liệu.
4. Phân tích kỹ thuật
Phần dưới đây sẽ liệt kê các thành phần chính về các loại mã độc mà nhóm APT41 này sử dụng phục vụ cho việc tấn công và khai thác dữ liệu của nạn nhân.
Loader: StealthVector và StealthReacher
StealthVector là một loại khởi tạo backdoor nhằm mục đích để khởi tạo một backdoor khác của EarthBaku trong chế độ ẩn danh. Trong năm nay, EarthBaku đã thực hiện thêm 2 loại Loader mới nhằm mục đích tạo backdoor cho chính nó mang tên: CobaltStrike và SneakCross (hay còn được biết với tên gọi MoonWalk)
StealthVector mới
StealthVector mới rất giống với phiên bản được phát hiện vào năm 2021. Mặc dù cấu trúc cấu hình thay đổi không nhiều, nhưng hiện tại nó sử dụng AES làm thuật toán mã hóa thay vì ChaCha20. Trong một số loại biến thể khác có sử dụng một trình ảo hóa mã nhằm xáo trộn mã nguồn, khiến phần mềm độc hại khó phân tích hơn và bản thân các loại mã độc trên cũng được thiết kế thêm các cơ chế nhằm tránh khỏi sự phát hiện của các biện pháp bảo mật hiện nay
StealthReacher
StealthReacher (còn được gọi là DodgeBox) có thể được coi là một biến thể nâng cao của StealthVector, với các kỹ thuật ẩn mã như FNV1-a và các cơ chế né tránh phòng thủ khác. So với StealthVector cũ, nó sử dụng thuật toán AES để mã hóa và hàm băm MD5 cho kiểm tra tổng. Dựa trên các quan sát của chúng tôi, StealthReacher là bộ nạp được chỉ định để khởi chạy cửa hậu mô-đun mới, SneakCross. Đáng chú ý là cả StealthVector và StealthReacher đều thực hiện mã hóa lại sau lần khởi tạo đầu tiên bằng mã hóa XOR, với khóa là tên máy tính của nạn nhân. Từ góc độ điều tra số, việc giải mã và phân tích payload thu thập được rất khó khăn ngay cả khi tất cả các thành phần loader và payload được thu thập cùng lúc.
Backdoor: SneakCross
SneakCross là một loại backdoor mới sử dụng dịch vụ của Google để thực hiện kết nối C&C. Nó sử dụng Windows Fibers để né tránh sự phát hiện từ các sản phẩm bảo vệ mạng và các giải pháp EDR. Có thể thấy rằng SneakCross là phiên bản kế nhiệm của module backdoor trước đó, ScrambleCross.
5. IOCs
Dưới đây là bảng IOC của các tệp độc hại
Tên file | SHA256 |
Trojan.Win64.STEALTHVECTOR.ZYLH | 7e63c6b9ab3b32beffbc1eb23d6ca7cc59616b0722f0dd4f0d893c0a1724f5d7 |
Trojan.Win64.STEALTHVECTOR.ZYLH | 8405d742405d3a6d3bda6bc49630dd5f3604a3d6ae27cbd533e425f8abbaafdc |
Trojan.Win64.STEALTHVECTOR.ZYLH | a50f85c71b69563ba42bf04c937e1063244ca4957231d3adac76f1c96ab42d3c |
Trojan.Win64.STEALTHVECTOR.ZALG | ab56501167fe689fe55f6e6ddc3bb91952299bd5c3ef004b02bf1c3b4061c7cf |
Trojan.Win64.STEALTHVECTOR.E | ec10a9396dca694fe64366e0dab82d046cf92457f97efd50a68ceb85adef6b74 |
Trojan.Win64.STEALTHVECTOR.ZYLH | 73eaba82ef1c502448e533007e92b1afa879b09f85f28b71648668ea62839ff5 |
Trojan.Win64.STEALTHVECTOR.ZYLH | 0faddbe1713455e3fc9777ec45adf07b28e24f4c3ddca37586c2aa6b539898c0 |
Trojan.Win64.STEALTHVECTOR.ZYLH | 1c88150ec85a07c3db5f18c5eedcb0b653467b897af01d690ed996e5e07ba8e3 |
Trojan.Win64.STEALTHVECTOR.ZYLH | 3e52c310c6556367ff9e18448bc41719e603d1cbbdafdcba736c6565529617b6 |
Trojan.Win64.STEALTHVECTOR.ZYLH | 07aa971f0791b06dd442d4c7a49c1d3d27a1cbb16602f731e870b5ef50edf69e |
Trojan.Win64.STEALTHVECTOR.ZBLG | 166b6dcdac31f4bf51e4b20a7c3f7d4f7017ca0c30fa123d5591e25c3fa66107 |
Trojan.Win64.STEALTHVECTOR.E | 21fc0f50d545c0a373380934dc61c423c8a31d8c3e6eae4f8a35149ad9962d88 |
Trojan.Win64.STEALTHREACHER.ZYLH | 7586e58a569c2a07d0b3a710616f48833a040bf3fc57628bbdec7fcb462d565a |
Trojan.Win64.STEALTHREACHER.ZYLH | 22a50cea6ad67a7e8582d2cd4cdc3eaaf57c0fbe8cd062a9b15710166e255a86 |
Trojan.Win64.STEALTHREACHER.ZBLH | c6a3a1ea84251aed908702a1f2a565496d583239c5f467f5dcd0cfc5bfb1a6db |
Trojan.Win64.STEALTHREACHER.ZYLH | 073b35ecbd1833575fbfb1307654fc532fd938482e09426cfb0541ad87a04f75 |
Trojan.Win64.STEALTHVECTOR.ZYLH | 7463700ec5768d4af6549028465f978059611555aa8e22e2b7c664b1cdbfa9ae |
Trojan.Win64.STEALTHVECTOR.ZYLH | cdcbd9c25e06ac6da5497fa19459d0007449ec1a3e6bc591334db6fb3598aecb |
Trojan.Win64.STEALTHVECTOR.ZYLH | 7f24bc080281d250ec88493e5803e488721a17c9382cd54ba8dfbcb785f23a88 |
Backdoor.Win64.COBEACON.ZYLH | e4360c0aa995e6e896b22bb7725a6c9b189be8606e7cbbc8b6e80c606358649d |
Backdoor.Win64.COBEACON.ZALH | 83de8917bf0ac1d670acf27431015215db872b7291979312dd65e30d99806abb |
Backdoor.Win64.COBEACON.ZYLH | ec5a96f42aeccdf9a3ae4c3650689606c8539fd65c0b47f30887afecb901be43 |
Backdoor.Win64.SNEAKCROSS.ZBLG | c02accc26a389397fb172f83258baa8a974986ffd706ba708a3b0a679f61be56 |
Backdoor.Win64.COBEACON.ZBLF.enc | e5f1360d4c299bb32e33e081115f2b520251a983af2ebc649b4b9b70308246fe |
Dưới đây là bảng các IOC chứa Domain và IP độc hại
Loại | Địa chỉ URL/IP |
Domain | www[.]mircoupdate[.]https443[.]net |
Domain | icy-bar-c375.microsoft-updates.workers[.]dev |
Domain | sitennews[.]com |
Domain | update-chrome.realgodad.workers[.]dev |
Domain | track.cdn78544[.]ru |
Domain | cdn7854.workers[.]dev |
Domain | shrill-tooth-b557.vgfjuic.workers[.]dev |
IP | 5.182.207[.]28 |
IP | 78.108.216[.]20 |
IP | 212.87.212[.]115 |