Cảnh báo chiến dịch tấn công nhóm APT “MirrorFace”
15/08/2024
Lượt xem: 76
Cảnh báo chiến
dịch tấn công nhóm APT “MirrorFace”
Ngày 14/8/2024, Sở Thông tin và Truyền thông có văn bản
số 1447/STTTT-TTCNTT&TT về việc cảnh báo chiến dịch tấn công nhóm APT “MirrorFace”.
Theo đó, trong quá trình giám sát an toàn thông tin trên không
gian mạng, Cục An toàn thông tin - Bộ Thông tin và Truyền thông đã phát hiện và
ghi nhận các thông tin liên quan đến chiến dịch tấn công mạng được thực hiện bởi
nhóm tấn công APT MirrorFace. Mục tiêu của nhóm MirrorFace là các tổ chức chính
trị, các viện nghiên cứu, nhà sản xuất. Nhóm đã thực hiện khai thác các lỗ hổng
an toàn thông tin trên sản phẩm Array AG và FortiGate nhằm phát tán mã độc
NOOPDOOR.
Mã độc NOOPDOOR là một shellcode được gài vào ứng dụng
hợp pháp trên hệ thống và có hai biến thể dưới dạng file .XML và .DLL. Cả hai
biến thể này chỉ khác về bước xâm nhập và giống nhau về chức năng, cho phép
nhóm MirrorFace thiết lập kết nối thông qua cổng 443, cổng 47000 để tải xuống
file, thực thi câu lệnh,… Sau khi phát tán mã độc trong chiến dịch tấn công,
nhóm này thực hiện các hành trái phép như: truy cập vào nơi lưu trữ thông tin
xác thực của hệ thống mạng, phát tán mã độc tới các thiết bị khác trong mạng cục
bộ; thực hiện các hành vi theo dõi, trích xuất thông tin người dùng. Ngoài ra,
MirrorFace còn sử dụng công cụ GO Simple Tunnel trong chiến dịch. Để tránh bị
phát hiện, nhóm đối tượng đã khai thác MSBuild để thực thi file .XML chứa mã độc;
ghi đè dữ liệu độc hại lên registry của file; chỉnh sửa timestamp; thêm luật
vào tường lửa hệ thống để cho phép mã độc được kết nối tới các cổng nhất định; ẩn
đi các dịch vụ được kích hoạt; xóa đi ghi chép của Windows Event; xóa file mã độc
sau khi khai thác. Chiến dịch sử dụng kỹ thuật DLL side-loading và khai thác
MSBuild để thực thi mã độc trên hệ thống.
Văn phòng Sở