Báo cáo xu hướng APT của Kaspersky Quý III năm 2019 cho thấy một phần mềm độc hại Android ngụy trang dưới dạng trình nhắn tin di động hay ứng dụng tiền điện tử nhắm mục tiêu vào những tổ chức và đơn vị giao dịch tiền điện tử, một nhóm APT khét tiếng liên tục thay đổi công cụ của mình để tấn công ngân hàng, và một nhóm nhỏ của Lazarus khai thác CVE-2017-10271 để xâm nhập vào đơn vị cung cấp dịch vụ bảo mật mạng…
Mã độc KONNI nhắm mục tiêu tiền điện tử
Trong số những hoạt động mới được các nhà nghiên cứu của Kaspersky theo dõi, có sự hiện diện của phần mềm độc hại Android ngụy trang dưới dạng trình nhắn tin di động hoặc ứng dụng tiền điện tử.
Sau khi hợp tác chặt chẽ với Đội ứng cứu sự cố (CERT) Hàn Quốc để vô hiệu hóa máy chủ của tin tặc (hacker), Kaspersky đã có thể điều tra mã độc mới cũng như phát hiện mối quan hệ của nó với KONNI.
Đây là một chủng mã độc Windows đã từng được sử dụng để nhắm mục tiêu vào một tổ chức nhân quyền và cá nhân có mối quan tâm đến các vấn đề trên bán đảo Triều Tiên.
Mã độc này cũng được biết đến với mục tiêu là tiền điện tử bằng cách triển khai đầy đủ các tính năng để kiểm soát thiết bị Android bị nhiễm độc cũng như đánh cắp tiền điện tử cá nhân khi người dùng sử dụng các tính năng này.
BlueNoroff tàng hình và ngân hàng tại Đông Nam Á
Kaspersky cũng đã theo dõi BlueNoroff, nhóm APT của Lazarus chuyên tấn công khu vực tài chính - ngân hàng, gây lây nhiễm cho một ngân hàng ở Myanmar trong Quý III năm 2019.
Với cảnh báo kịp thời, công ty an ninh mạng toàn cầu đã gửi tới ngân hàng và các nhà nghiên cứu liên quan những thông tin giá trị về phương thức những kẻ tấn công truy cập máy chủ sử dụng, chẳng hạn như các kỹ sư thuộc hệ thống ngân hàng hiện đang tương tác với Hiệp hội viễn thông liên ngân hàng và tài chính quốc tế (SWIFT - Society for Worldwide Interbank and Financial Telecommunication).
Kaspersky cũng phát hiện ra các chiến thuật mà BlueNoroff đã thực hiện để tránh bị phát hiện như sử dụng và liên tục thay đổi tập lệnh Powershell.
BlueNoroff cũng sử dụng phần mềm độc hại rất tinh vi có thể hoạt động như cửa hậu (backdoor) thụ động hoặc chủ động, hoặc thậm chí là một công cụ tạo đường hầm (tunnel), tùy thuộc vào tham số dòng lệnh.
Nhóm Andariel APT sử dụng "cửa hậu" mới
Một nhóm phụ khác của Lazarus, nhóm Andariel APT, đã tiến hành những nỗ lực mới để xây dựng cơ sở hạ tầng C2 nhắm vào máy chủ Weblogic thông qua hoạt động khai thác CVE-2017-10271.
Chiến thuật này đã được chứng minh tính hiệu quả sau khi những kẻ tấn công đã thành công trong việc cấy mã độc vào chữ ký hợp pháp thuộc sự quản lý của một nhà cung cấp phần mềm bảo mật Hàn Quốc. Chữ ký chứa mã độc đã bị thu hồi nhờ phản ứng nhanh của CERT Hàn Quốc.
Thường tập trung vào hoạt động gián điệp địa chính trị và tình báo tài chính ở Hàn Quốc, Andariel cũng đang sử dụng một loại cửa hậu hoàn toàn mới được gọi là ApolloZeus. Cửa hậu phức tạp và kín đáo này sử dụng shellcode (một đoạn mã nhỏ được sử dụng làm trọng tải trong việc khai thác lỗ hổng phần mềm) tương đối lớn để khiến việc phân tích trở nên khó khăn hơn.
Dựa vào điều tra của Kaspersky, tấn công của Andariel nằm trong giai đoạn chuẩn bị cho một chiến dịch mới sẽ diễn ra.
Ông Costin Raiu, Giám đốc Nhóm nghiên cứu và phân tích toàn cầu của Kaspersky cho biết: "Các cuộc tấn công nhắm mục tiêu chống lại tổ chức tài chính sử dụng nhiều kỹ thuật tinh vi - trước đây chỉ thấy trong các cuộc tấn công APT - với cơ sở hạ tầng được sử dụng để “rửa” sản phẩm bị đánh cắp. Trong Quý III này, chúng ta đã thấy các tác nhân đe dọa tiên tiến như Andariel và BlueNoroff của Lazarus nỗ lực thực hiện tấn công vào không chỉ ngân hàng mà là các công ty đầu tư và tiền ảo. Chúng tôi khuyên tất cả doanh nghiệp khu vực châu Á - Thái Bình Dương nên cảnh giác và đề phòng chống lại các cuộc tấn công tương tự như vậy”.
Chiến dịch mã độc DADJOKE săn lùng thông tin tại Đông Nam Á
Bên cạnh các nhóm APT nói tiếng Hàn đang hoạt động thì trong Quý III năm 2019, Kaspersky cũng đã nhận thấy một chiến dịch sử dụng mã độc được FireEye gọi là DADJOKE - chuyên săn lùng thông tin tại khu vực Đông Nam Á.
Các nhà nghiên cứu đã theo dõi việc sử dụng phần mềm độc hại này trong một số ít chiến dịch vào đầu năm để chống lại các tổ chức chính phủ, quân đội và ngoại giao ở khu vực Đông Nam Á. Hoạt động mới nhất được phát hiện vào ngày 29/8/2018 liên quan đến một vài cá nhân làm việc cho tổ chức quân sự.
Ông Seongsu Park, nhà nghiên cứu bảo mật cấp cao tại Kaspersky cho biết: “Chúng tôi từng nhấn mạnh trong Báo cáo APT Quý II rằng các chiến dịch APT nói tiếng Hàn đang dành nhiều sự chú ý vào nhiều tổ chức khác nhau ở khu vực Đông Nam Á và Hàn Quốc. Đúng như dự đoán, chúng tôi đã theo dõi thấy một số hoạt động độc hại từ các nhóm APT nói tiếng Hàn và mã độc mới xuất hiện ở cả hai khu vực từ tháng 7 đến tháng 9 năm nay. Quan sát của chúng tôi cho thấy hầu hết chúng đều rất “khát” thông tin tình báo, cả về bí mật tài chính và địa chính trị.”
Báo cáo Xu hướng APT Quý III năm 2019 tóm tắt các phát hiện của báo cáo tình báo mối đe dọa dành cho người dùng Kaspersky, bao gồm dữ liệu (IOC - Inversion of Control) và các quy tắc YARA (công cụ quan trọng, phổ biến của nhà nghiên cứu an ninh cho phép tìm và nhóm các mẫu phần mềm độc hại dựa trên đặc điểm và các mẫu) để hỗ trợ dự báo và tìm kiếm mã độc.