Một nhóm tin tặc chưa từng được phát hiện trước đây đã được xác định là đứng sau một loạt các cuộc tấn công nhắm vào các ngành sản xuất nhiên liệu, năng lượng và hàng không ở Nga, Mỹ, Ấn Độ, Nepal, Đài Loan và Nhật Bản với mục tiêu đánh cắp dữ liệu từ các mạng bị xâm nhập.
Công ty an ninh mạng Positive Technologies đặt tên cho nhóm (APT) là ChamelGang – đề cập đến khả năng biến hóa của họ, bao gồm ngụy trang “phần mềm độc hại và cơ sở hạ tầng mạng dưới các dịch vụ hợp pháp của Microsoft, TrendMicro, McAfee, IBM và Google.”
“Để đạt được mục tiêu của mình, những kẻ tấn công đã sử dụng một phương pháp thâm nhập theo xu hướng – chuỗi cung ứng. Nhóm này đã xâm nhập vào một công ty con và thâm nhập vào mạng của công ty mục tiêu thông qua nó. Ngày nay hiếm khi tấn công mối quan hệ đáng tin cậy do sự phức tạp trong quá trình thực hiện của chúng. Sử dụng phương pháp này […], nhóm ChamelGang đã có thể đạt được mục tiêu và đánh cắp dữ liệu từ mạng bị xâm phạm.”, các nhà nghiên cứu cho biết về một trong những sự cố được công ty điều tra.
Các cuộc xâm nhập được gắn kết bởi kẻ thù được cho là đã bắt đầu vào cuối tháng 3 năm 2021, với các cuộc tấn công sau đó vào tháng 8 tận dụng chuỗi lỗ hổng ProxyShell ảnh hưởng đến Máy chủ Microsoft Exchange, các chi tiết kỹ thuật lần đầu tiên được tiết lộ tại bảo mật Black Hat USA 2021 hội nghị đầu tháng đó.
Cuộc tấn công hồi tháng 3 cũng đáng chú ý vì các nhà khai thác đã xâm phạm một tổ chức con để giành quyền truy cập vào mạng của một công ty năng lượng không tên tuổi bằng cách khai thác một lỗ hổng trong Ứng dụng Red Hat JBoss Enterprise ( CVE-2017-12149 ) để thực hiện các lệnh từ xa trên máy chủ. và triển khai các tải trọng độc hại cho phép tác nhân khởi chạy phần mềm độc hại với các đặc quyền nâng cao, xoay chiều ngang qua mạng và thực hiện trinh sát, trước khi triển khai một cửa sau có tên là DoorMe.
Các máy chủ bị nhiễm đã được kiểm soát bởi những kẻ tấn công bằng cách sử dụng tiện ích công cộng FRP (proxy ngược nhanh), được viết bằng Golang. Tiện ích này cho phép kết nối với máy chủ proxy ngược. Yêu cầu của những kẻ tấn công đã được định tuyến bằng cách sử dụng socks5 plugin thông qua địa chỉ máy chủ thu được từ dữ liệu cấu hình.
Mặt khác, cuộc tấn công hồi tháng 8 nhằm vào một công ty Nga trong lĩnh vực sản xuất hàng không liên quan đến việc khai thác các lỗ hổng ProxyShell (CVE-2021-34473, CVE-2021-34523 và CVE-2021-31207) để thả thêm web shell và tiến hành trinh sát từ xa trên nút bị xâm phạm, cuối cùng dẫn đến việc cài đặt phiên bản sửa đổi của bộ cấy DoorMe đi kèm với các khả năng mở rộng để chạy các lệnh tùy ý và thực hiện các hoạt động tệp.
“Nhắm mục tiêu vào khu phức hợp nhiên liệu và năng lượng và ngành hàng không ở Nga không phải là duy nhất – lĩnh vực này là một trong ba lĩnh vực thường xuyên bị tấn công nhất”, Trưởng bộ phận phân tích mối đe dọa của Positive Technologies, Denis Kuvshinov, cho biết.
Tuy nhiên, hầu hết các cuộc tấn công như vậy đều dẫn đến mất mát tài chính hoặc dữ liệu – trong 84% tổng số trường hợp vào năm ngoái, các cuộc tấn công được tạo ra đặc biệt để đánh cắp dữ liệu và gây ra thiệt hại lớn về tài chính và danh tiếng.
Fanpage: Trí Việt JSC (Theo thehackernews)