Tổng quan

Các nhà nghiên cứu của nhóm Unit 42 đến từ hãng bảo mật Palo Alto Networks đã quan sát ba chiến dịch của Stately Taurus trong tháng 8/2023. Các chiến dịch này được đánh giá là nhằm vào các thực thể ở Nam Thái Bình Dương, trong đó phần lớn mục tiêu là các cơ quan thuộc Chính phủ Philippines. Các tin tặc đã lạm dụng phần mềm hợp pháp Solid PDF Creator và SmadavProtect (một giải pháp chống virus của Indonesia) để tải các tệp độc hại.

Việc sử dụng SmadavProtect là một chiến thuật đã được Stately Taurus áp dụng trong những tháng gần đây, chúng đã triển khai phần mềm độc hại được thiết kế đặc biệt để vượt qua các giải pháp bảo mật.

Bên cạnh đó, các tin tặc cũng đã cấu hình phần mềm độc hại một cách đặc biệt để mạo danh lưu lượng truy cập hợp pháp của Microsoft cho các kết nối đến máy chủ chỉ huy và kiểm soát (C2).

Stately Taurus (hay còn gọi là Mustang Panda, Bronze President, Red Delta, Luminous Moth, Earth Preta và Camaro Dragon) đã hoạt động ít nhất từ ​​năm 2012. Đây là nhóm tin tặc APT của Trung Quốc thường xuyên thực hiện các chiến dịch gián điệp mạng. Nhóm này trước đây đã nhắm mục tiêu vào các tổ chức chính phủ và phi lợi nhuận, cũng như các tổ chức tôn giáo tại Bắc Mỹ, châu Âu và châu Á.

Chiến dịch 1

Chiến dịch đầu tiên được phát hiện vào ngày 01/8/2023, khi các nhà nghiên cứu Unit 42 xác định phần mềm độc hại Stately Taurus được lưu trữ để tải xuống trên Google Drive. Các tin tặc đã cấu hình phần mềm độc hại này dưới dạng tệp ZIP có tên “230728 meeting minutes.zip”.

Hình 1. Nội dung kho lưu trữ ZIP độc hại trong chiến dịch 1

Theo mặc định, nạn nhân nhìn thấy một ứng dụng hiển thị như trên Hình 1 (20230728 meeting minutes.exe) có chứa biểu tượng PDF. Trên thực tế, tệp này là bản sao hợp pháp của phần mềm Solid PDF Creator đã được đổi tên. Tuy nhiên, điều mà nạn nhân không nhìn thấy là thư mục này chứa tệp ẩn thứ hai có tên SolidPDFCreator.dll.

Bất kỳ nỗ lực nào để thực thi phần mềm Solid PDF Creator hợp pháp sẽ dẫn đến việc thực thi DLL sideloading độc hại có trong cùng một thư mục. Sau khi được tải, DLL độc hại sẽ thiết lập kết nối với địa chỉ IP 45[.]121[.]146[.]113 để tạo điều kiện thuận lợi cho các lệnh C2. Các nhà nghiên cứu đánh giá rằng một tổ chức có liên quan đến Chính phủ Philippines là nạn nhân trong chiến dịch lần này.

Chiến dịch 2

Sau đó, Unit 42 đã xác định được chiến dịch Stately Taurus thứ hai vào ngày 03/8/2023. Phần mềm độc hại này được cấu hình dưới dạng tệp ZIP có tên là “NUG’s Foreign Policy Strategy.zip”.

Trong trường hợp này, từ viết tắt “NUG” được cho là nhắc đến phe đối lập tại Myanmar là “Chính phủ thống nhất quốc gia Myanmar”. Khi giải nén kho lưu trữ này, nạn nhân sẽ thấy một chế độ xem tương tự như chiến dịch đầu tiên, được hiển thị trong Hình 2.

Hình 2. Nội dung kho lưu trữ ZIP trong chiến dịch 2

Ở đây, chúng ta thấy một bản sao hợp pháp của phần mềm Solid PDF Creator đã được đổi tên thành NUG’s Foreign Policy Strategy.exe. Các nhà nghiên cứu cho biết cũng thấy tệp SolidPDFCreator.dll ẩn được tải khi ứng dụng được khởi chạy. Tuy nhiên, tệp ZIP này cũng chứa các tệp bổ sung ẩn trong đường dẫn: “NUG’s Foreign Policy Strategy\#\#\#\#\#\#\#\#\#\#\#\”.

Sau khi duyệt qua 11 thư mục có tên # , các nhà nghiên cứu đã xác định được ba tệp bổ sung, được hiển thị trong Hình 3.

Hình 3. Nội dung của thư mục #

Về luồng của tiến trình, khi thực thi tệp nhị phân NUG’s Foreign Policy Strategy.exe có thể nhìn thấy tệp SolidPDFCreator.dll. Sau đó, DLL này sao chép ba tệp: errordetails, SmadavProtect32.exe và Smadhook32c.dll vào thư mục chính của nạn nhân và thiết lập Registry tại đường dẫn “HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run\AHealthDB” để gọi tiến trình SmadavProtect32.exe khi một người dùng đăng nhập.

SmadavProtect32.exe là bản sao hợp pháp và lành tính của chương trình chống virus của Indonesia có tên là SmadAV. Khi đăng nhập, SmadavProtect32.exe sẽ tải tệp DLL độc hại (SmadHook32c.dll) và sau đó là phần mềm độc hại errordetails có trong cùng một thư mục. Sau khi chạy, phần mềm độc hại được cấu hình để gọi tới địa chỉ IP 45[.]121[.]146[.]113 để kết nối C2.

Chiến dịch 3

Chiến dịch thứ 3 có cấu trúc giống với chiến dịch đầu tiên và được phát hiện vào ngày 16/8/2023. Tuy nhiên, tên tệp ZIP và EXE là “Labor Statement.zip” thay vì 230728 meeting minutes như ví dụ đầu tiên.

Khi giải nén nội dung của tệp ZIP, nạn nhân sẽ thấy hai tệp. Tệp đầu tiên có tên là Labor Statement.exe, đây là bản sao lành tính của phần mềm Solid PDF Creator. Tệp thứ hai là một tệp DLL độc hại có tên SolidPDFCreator.dll. Sau khi thực thi ứng dụng, DLL độc hại sẽ được tải và nó thiết lập kết nối tới địa chỉ IP 45[.]121[.]146[.]113 cho kết nối C2 giống như hai chiến dịch trước đó.

Cơ sở hạ tầng C2

Địa chỉ IP 45[.]121[.]146[.]113 lần đầu tiên được liên kết với Stately Taurus trong một loạt chiến dịch được triển khai vào tháng 6/2023. Các nhà nghiên cứu đánh giá rằng các tin tặc tiếp tục tận dụng cơ sở hạ tầng này trong suốt tháng 8/2023. Tuy nhiên, một khía cạnh thú vị trong hoạt động của C2 là các kẻ tấn công đã cố gắng ngụy trang nó thành lưu lượng truy cập hợp pháp của Microsoft, như trong Hình 4.

Hình 4. Phương thức POST của phần mềm độc hại

Cụ thể, trong phương thức POST, phần mềm độc hại đặt trường Host thành wcpstatic[.]microsoft[.]com mặc dù lưu lượng truy cập được chuyển hướng đến địa chỉ IP ở Malaysia không liên quan đến bất kỳ dịch vụ hợp pháp nào của Microsoft.

Ngoài ra, khi giám sát lưu lượng truy cập liên kết với máy chủ C2, các nhà nghiên cứu đã xác định được nhiều kết nối từ ngày 10/8 đến ngày 15/8/2023, bắt nguồn từ cơ sở hạ tầng của Chính phủ Philippines.

Dựa trên lưu lượng truy cập vào máy chủ C2 độc hại đã biết, Unit 42 đánh giá một cơ quan Chính phủ Philippines có thể đã bị xâm phạm trong các chiến dịch này, ít nhất là trong khoảng thời gian 5 ngày vào tháng 8/2023.

Diễn biến liên quan

Vào cuối tháng 9/2023, Unit 42 cũng cho biết các tác nhân đe dọa đã thực hiện cuộc tấn công nhằm vào một chính phủ giấu tên tại Đông Nam Á để phát tán một biến thể của backdoor có tên TONESHELL.

Các chiến dịch mới nhất tận dụng các email lừa đảo trực tuyến để phân phối tệp lưu trữ ZIP độc hại chứa tệp DLL lừa đảo được khởi chạy bằng kỹ thuật có tên DLL side-loading. DLL sau đó sẽ thiết lập liên lạc với một máy chủ từ xa.

Tiết lộ này được đưa ra khi một nhóm APT đến từ Hàn Quốc là Higaisa đã bị phát hiện nhắm mục tiêu vào người dùng Trung Quốc thông qua các trang web lừa đảo mạo danh các ứng dụng phần mềm nổi tiếng như OpenVPN.

Công ty giải pháp bảo mật Cyble cho biết vào cuối tháng trước: “Sau khi được thực thi, trình cài đặt sẽ nhúng và chạy phần mềm độc hại dựa trên Rust trên hệ thống, sau đó kích hoạt shellcode. Nó thực hiện các hoạt động chống gỡ lỗi và giải mã. Sau đó, thiết lập liên lạc với máy chủ C2 được mã hóa với tác nhân đe dọa từ xa”.

Kết luận

Trong tháng 8/2023, các thành viên của Stately Taurus đã phát động ít nhất ba chiến dịch nhắm vào các thực thể ở Nam Thái Bình Dương. Các nhà nghiên cứu cho biết ít nhất một trong những chiến dịch này nhắm trực tiếp vào Chính phủ Philippines.

Theo đánh giá của các nhà nghiên cứu, các tin tặc APT sử dụng kỹ thuật DLL sideloading để phát tán phần mềm độc hại không phải là mới. Tuy nhiên, việc nhóm Stately Taurus tiếp tục sử dụng kỹ thuật này, kết hợp với tỷ lệ phát hiện tối thiểu trên các nền tảng như VirusTotal, chứng tỏ rằng chúng tiếp tục là một công cụ hiệu quả trong các cuộc tấn công mạng của tin tặc.

Stately Taurus tiếp tục chứng tỏ khả năng tiến hành các hoạt động gián điệp mạng liên tục với tư cách là một trong những tác nhân APT tích cực nhất của Trung Quốc. Các hoạt động này nhắm vào nhiều đối tượng mục tiêu khác nhau có liên quan đến những căng thẳng địa chính trị với Trung Quốc.