Skip to main content
HashnodeFPT IS SecurityFPT IS Security

Command Palette

Search for a command to run...

Tin tặc Trung Quốc nhắm mục tiêu tới chính phủ Việt Nam và các quốc gia lân cận

Updated
7 min read
Tin tặc Trung Quốc nhắm mục tiêu tới chính phủ Việt Nam và các quốc gia lân cận
M
Mai Đức Nam Anh
Part of seriesNewsletters

Nhóm tin tặc APT Lotus Blossom từ Trung Quốc gần đây được phát hiện đã triển khai nhiều chiến dịch tấn công, nhắm tới các tổ chức chính phủ, các doanh nghiệp trong lĩnh vực sản xuất, viễn thông, truyền thông tại Việt Nam, Hồng Kông, Đài Loan và Philippines.

Lotus Blossom hay còn được biết đến với những cái tên như Lotus Panda, Spring Dragon, Thrip là một tổ chức tin tặc đến từ Trung Quốc. Xuất hiện lần đầu trong khoảng cuối năm 2011, nhóm tin tặc này thường sử dụng các phương thức tấn công như spear-phishing (lừa đảo thông qua email) và watering hole (tấn công vào các trang web mà mục tiêu thường truy cập) để xâm nhập và triển khai backdoor lên hệ thống của nạn nhân. Mục tiêu cho các cuộc tấn công của nhóm là các tổ chức thuộc cơ quan chính phủ, các tổ chức quân sự và các doanh nghiệp thuộc sở hữu của nhà nước trong khu vực Đông Nam Á, bao gồm cả Việt Nam.

Trong báo cáo mới đây của Joey Chen thuộc Cisco Talos, nhóm tin tặc Lotus Blossom được ghi nhận đã triển khai các chiến dịch tấn công nhắm tới các tổ chức chính phủ, các doanh nghiệp trong lĩnh vực sản xuất, viễn thông, tuyền thông tại Việt Nam, Hồng Kông, Đài Loan và Phi-líp-pin. Chiến dịch này phát tán và lây nhiễm các biến thể của backdoor Sagerunex, cho phép tin tặc quyền truy cập tuỳ ý, đồng thời thiết lập sự tồn tại lâu dài, che giấu hành vi và đảm bảo các hoạt động tội phạm không bị gián đoạn trên hệ thống của nạn nhân bằng các shell lệnh long-term persistence.

Hình 1: Quốc gia mục tiêu được nhắm tới trong chiến dịch của Lotus Blossom - Nguồn: Cisco Talos

Hai biến thể mới của backdoor Sagerunex đã bị phát hiện trong các cuộc tấn công được ghi nhận, nhắm tới các doanh nghiệp truyền thông và viễn thông. Đáng chú ý, các biến thể mới này đều không dựa vào các máy chủ riêng ảo (VPS - Virtual Private Server) làm máy chủ ban đầu cho máy chủ C2 (Command & Control), thay vào đó chúng sử dụng các dịch vụ đám mây hợp pháp từ bên thứ ba như Dropbox, Twitter hoặc dịch vụ webmail mã nguồn mở như Zimbra nhằm tránh bị phát hiện khi tạo kết nối tới máy chủ C2.

Hình 2: Chuỗi tấn công của Lotus Blossom - Nguồn: Cisco Talos

Mặc dù vector tấn công ban đầu chưa được kết luận cụ thể, tuy nhiên dựa trên các bằng chứng đã ghi nhận, có thể phỏng đoán Lotus Blossom sử dụng chiến thuật khai thác bằng phương pháp spear-phishing và watering hole. TTP (Tactics, Techniques, and Procedures) của nhóm diễn ra với nhiều giai đoạn, giúp nhóm từng bước đạt được các mục tiêu cụ thể của chiến dịch, đồng thời triển khai backdoor nhằm duy trì sự tồn tại và che giấu sự hiện diện trên này trên hệ thống bị lây nhiễm trong khoảng thời gian dài. Một khi Sagerunex được lây nhiễm thành công, mã độc sẽ tự động thu thập thông tin của hệ thống thông qua các câu lệnh khác nhau như net, tasklist, quser, ipconfig, netstatdir. Đây là các câu lệnh giúp hiển thị thông tin về người dùng, cấu trúc thư mục, hoạt động của tiến trình và cấu hình mạng trên hệ thống bị nhiễm.

Sau quá trình thu thập thông tin ban đầu, nếu như hệ thống bị hạn chế truy cập internet, nhóm tin tặc sẽ cấu hình proxy của nạn nhân để thiết lập kết nối hoặc sử dụng công cụ proxy Venom để kết nối các máy bị cô lập với các hệ thống có thể truy cập internet. Ngoài ra, nhóm tin tặc cũng chuyển các backdoor và phần mềm độc hại tới thư mục Public\Pictures của hệ điều hành, bởi đây là thư mục cho phép tất cả user trên hệ thống có thể truy cập, đồng thời các tệp tin trong thư mục này không bị ẩn đi cũng như không được bảo vệ trên hệ thống, khiến nó trở thành lựa chọn chiến lược để che giấu sự tồn tại thiết lập quyền truy cập lâu dài.

Để đảm bảo hơn, nhóm tin tặc cũng triển khai thêm các key cho backdoor có thể chạy dưới dạng một dịch vụ của hệ thống như:

  • reg query HKLM\SYSTEM\CurrentControlSet\Services\swprv\Parameters

  • reg query HKLM\SYSTEM\CurrentControlSet\Services\tapisrv\Parameters

  • reg query HKLM\SYSTEM\CurrentControlSet\Services\appmgmt\Parameters

Lotus Blossom cũng tận dụng các công cụ hack mã nguồn mở trong các cuộc tấn công của mình. Một số công cụ được nhà nghiên cứu bảo mật Joey Chen nêu ra trong báo cáo của mình bao gồm:

  • Công cụ đánh cắp cookie: Nhóm sử dụng Pyinstaller của công cụ đánh cắp cookie Chrome mã nguồn mở từ github để đánh cắp thông tin đăng nhập trên trình duyệt Chrome.

  • Công cụ proxy Venom: Vốn được phát triển cho những người kiểm tra thâm nhập bằng ngôn ngữ Go, nhóm tin tặc đã cấu hình lại công cụ này và mã hóa cứng địa chỉ IP đích trong mỗi hoạt động.

  • Công cụ điều chỉnh đặc quyền: Cho phép tin tặc lấy token của một tiến trình khác và điều chỉnh đặc quyền để thực thi một tiến trình mới.

  • Công cụ lưu trữ: Cho phép tin tặc nén và mã hóa tùy chỉnh các tệp hoặc toàn bộ thư mục đánh cắp được đến một đường dẫn cụ thể với cơ chế bảo vệ.

  • Công cụ chuyển tiếp cổng: Tin tặc đặt tên công cụ này là "mtrain V1.01", một công cụ proxy relay đã được chỉnh sửa từ HTran, cho phép chuyển tiếp kết nối từ máy nạn nhân ra Internet.

  • Công cụ RAR: Trình quản lý lưu trữ mà tin tặc sử dụng để lưu trữ hoặc nén tệp.

Khuyến nghị

Backdoor là một dạng mã độc cho phép kẻ tấn công truy cập trái phép vào hệ thống của người dùng mà không cần sự bất kỳ sự chấp thuận nào. Để bảo vệ bản thân khỏi nguy cơ trở thành nạn nhân của Lotus Blossom hoặc các mối đe doạ tương đương, người dùng nên thực hiện các biện pháp sau:

  1. Cài đặt phần mềm diệt virus và bảo mật hệ thống: Sử dụng các phần mềm diệt virus uy tín để phát hiện và chặn mã độc. Kích hoạt tính năng bảo vệ thời gian thực để ngăn chặn malware trước khi nó có thể thực thi.

  2. Cẩn trọng khi duyệt web và tải file: Không nhấp vào các liên kết đáng ngờ trong email, tin nhắn hoặc trang web lạ. Chỉ tải phần mềm từ nguồn chính thức như trang web của nhà phát triển hoặc các kho ứng dụng uy tín. Sử dụng trình duyệt có tính năng bảo mật tốt và bật chặn quảng cáo để giảm nguy cơ tiếp xúc với trang web độc hại.

  3. Bảo vệ email khỏi tấn công lừa đảo (phishing): Không mở email từ người gửi không xác định hoặc email có nội dung đáng ngờ. Kiểm tra kỹ đường dẫn trước khi nhấp chuột để tránh bị chuyển hướng đến trang web giả mạo. Bật tính năng lọc email rác để giảm nguy cơ nhận email chứa mã độc.

  4. Bật tường lửa và bảo vệ mạng: Kích hoạt tường lửa trên hệ thống hoặc sử dụng các phần mềm tường lửa để kiểm soát lưu lượng mạng.

  5. Bật xác thực hai lớp (2FA) trên các tài khoản quan trọng: Sử dụng xác thực hai lớp (MFA/2FA) để tăng cường bảo mật cho tài khoản email, ngân hàng, và mạng xã hội.

  6. Cập nhật hệ điều hành và phần mềm thường xuyên: Luôn cập nhật hệ điều hành và các phần mềm để vá các lỗ hổng bảo mật.

  7. Sao lưu dữ liệu quan trọng định kỳ: Sử dụng ổ cứng ngoài hoặc dịch vụ đám mây (Google Drive, OneDrive) để lưu trữ bản sao dữ liệu quan trọng. Tránh lưu các dữ liệu quan trọng trên cùng một thiết bị để đề phòng trường hợp bị tấn công hoặc nhiễm ransomware.

IOCs

Thông tin IOC chi tiết, người dùng có thể tham khảo tới đường dẫn tới trang Github chính thức của Cisco Talos:

https://github.com/Cisco-Talos/IOCs/blob/main/2025/02/lotus-blossom-espionage-group.txt

Tham khảo

  1. Cisco Talos blog: https://blog.talosintelligence.com/lotus-blossom-espionage-group/
#lotus-blossom#fiscybersec#threat-intelligence#apt

Comments

Join the discussion

No comments yet. Be the first to comment.

Newsletters

Part 1 of 50

More from this blog

F

FPT IS Security

761 posts

Dedicated to providing insightful articles on cybersecurity threat intelligence, aimed at empowering individuals and organizations to navigate the digital landscape safely.