Được các nhà nghiên cứu tại bộ phận tình báo mối đe dọa mang tên Đơn vị 42 của Palo Alto Networks xác định và chỉ rõ, chiến dịch đã hoạt động ít nhất kể từ tháng 5/2019 và nhắm vào các công ty vận tải hoạt động Kuwait ở Vịnh Péc-xích (Persia).
Chiến dịch đã được đặt tên là xHunt vì các công cụ độc hại liên quan đã được các nhà phát triển theo các nhân vật trong loạt phim hoạt hình Hunter x Hunter.
xHunt lần đầu tiên được đưa ra ánh sáng vào tháng 5 sau khi một tác nhân độc hại được tìm thấy là đã cài đặt trên mạng của một nạn nhân ở Kuwait. Vẫn chưa rõ máy móc ban đầu bị xâm nhập như thế nào, nhưng những kẻ tấn công đã cài đặt một cửa hậu (backdoor) có tên là Hisoka phiên bản 0.8, tạo điều kiện phát tán các họ phần mềm độc hại bổ sung dường như được phát triển bởi cùng các tác giả.
Một trong số đó là Gon, cho phép kẻ tấn công quét các cổng mở trên các hệ thống từ xa, tải lên và tải xuống các tệp, chụp ảnh màn hình, tìm các hệ thống khác trên mạng, chạy các lệnh và tạo chức năng RDP (Remote Desktop Protocol).
Tất cả điều này cuối cùng cho phép những kẻ tấn công giám sát mọi hành động trên hệ thống bị lây nhiễm và bí mật đánh cắp các tệp và dữ liệu khác.
xHunt cũng đã xâm nhập thành công vào mạng lưới của một công ty vận tải thứ hai của Kuwait, làm mạng lưới công ty này bị lây nhiễm phần mềm độc hại vào tháng 6 năm nay.
Các nhà nghiên cứu lưu ý rằng phiên bản Hisoka này được chỉ tên là phiên bản 0.9 và nó đi kèm với các khả năng cộng thêm bao gồm khả năng tự chuyển sang các hệ thống khác bằng đặc quyền giao thức SMB (Server Message Block) từ tài khoản bàn dịch vụ CNTT nội bộ. Phần mềm độc hại cũng cố gắng đăng nhập vào các dịch vụ Exchange bằng thông tin xác thực hợp lệ cho tài khoản, giúp kẻ tấn công gửi và nhận các lệnh.
Trong quá trình phân tích phần mềm độc hại và các hoạt động của nó trên các mạng bị xâm nhập, các nhà nghiên cứu đã tìm thấy những tương đồng trong mã đến một công cụ độc hại khác - Sakabota - đã hoạt động từ ít nhất là tháng 7/2018.
Người ta tin rằng Sakabota là tiền thân của Hisoka, được phát triển bởi cùng một tác giả, với các khả năng được bổ sung thêm vào trong suốt một năm. Cửa hậu Gon cũng chứa mã được sử dụng trong Sakabota, một lần nữa cho thấy tất cả các công cụ dường như xuất phát từ cùng một tác giả hoặc cùng nhóm tác giả.
"Những kẻ tấn công đã bổ sung một số khả năng thú vị cho Hisoka và bộ công cụ liên quan của nó. Những kẻ tấn công nhận thức được các biện pháp an ninh có thể xảy ra tại các mục tiêu của chúng và đã cố gắng phát triển các cách thức để không bị phát hiện", Ryan Olson, Phó chủ tịch tình báo mối đe dọa tại Đơn vị 42 trao đổi với ZDNet.
Các nhà nghiên cứu cho rằng một số cơ sở hạ tầng và các miền được chia sẻ sau Hisoka, Sakabota và Gon cho thấy sự chồng chéo tiềm năng với OilRig - còn được biết đến là APT 35 và Helix Kitten - một hoạt động tấn công với các liên kết đến các chiến dịch tấn công mạng của chính phủ Iran. Các nhà nghiên cứu tại IBM X-Force cũng đề cập sự liên quan của các cuộc tấn công gần đây nhắm vào Kuwait đến Iran.
Bất kể ai đứng sau chiến dịch, các tổ chức có thể đi một chặng đường dài để phòng vệ chống lại các cuộc tấn công bằng cách thực hiện một số bước triển khai an ninh mạng cơ bản.
"Các tổ chức có thể tự bảo vệ mình bằng cách thêmcông cụ và khả năng bảo mậtđể phát hiện các thay đổi về trạng thái, hoạt động bất thường trên các máy chủ Exchange và phát hiện ra DNS Tunneling (phương thức tấn công mạng mã hóa dữ liệu của các chương trình hoặc giao thức khác trong các truy vấn và phản hồi DNS). Đây cũng là dịp phù hợp để tiếp tục tăng cường nhận thức và đào tạo bảo mật cho người dùng”, Olson cho biết.
Các nhà nghiên cứu tiếp tục theo dõi hoạt động xung quanh các cuộc tấn công và phân tích để xác định mục tiêu cuối cùng của kẻ tấn công cũng như thêm thông tin về nguồn gốc của chiến dịch. Các chỉ số bị xâm phạm liên quan đến các cuộc tấn công đã được chia sẻ trên kho lưu trữ GitHub của Đơn vị 42.