Một cửa hậu (backdoor) mới được sử dụng trong các chiến dịch gián điệp mạng đang diễn ra có liên kết đến các tác nhân tin tặc Trung Quốc vừa bị phát hiện.

Hôm 3/6, Check Point Research (CPR) cho biết cửa hậu đã được thiết kế, phát triển, thử nghiệm và triển khai trong 3 năm qua nhằm xâm phạm hệ thống của Bộ Ngoại giao của một chính phủ Đông Nam Á. Chuỗi lây nhiễm của phần mềm độc hại dựa trên Windows bắt đầu bằng các tin nhắn lừa đảo trực tuyến, mạo danh các bộ phận khác trong cùng một chính phủ, trong đó các nhân viên bị nhắm mục tiêu với các tài liệu chính thức được vũ khí hóa gửi qua email.

Tin tặc Trung Quốc dành 3 năm để tạo cửa hậu theo dõi một chính phủ Đông Nam Á

Nếu nạn nhân mở tệp, các mẫu .RTF từ xa sẽ được kéo và một phiên bản của phần mềm độc hại Royal Road sẽ được triển khai. Công cụ hoạt động bằng cách khai thác một tập hợp các lỗ hổng trong Equation Editor có trên Microsoft Word. CPR nói rằng Royal Road “đặc biệt phổ biến với các nhóm tin tặc APT của Trung Quốc”.

Tài liệu RTF chứa mã shellcode và trọng tải được mã hóa nhằm tạo tác vụ đã lên lịch và khởi chạy các kỹ thuật chống sandbox quét theo thời gian, cũng như trình tải xuống cho cửa hậu cuối cùng.

Được đặt tên là “VictoryDll_x86.dll”, cửa hậu đã được phát triển để chứa một số chức năng phù hợp cho việc theo dõi và lấy dữ liệu vào máy chủ điều khiển và chỉ huy (C&C). Nó cho phép thực hiện từ xa các dữ liệu bao gồm đọc/ghi và xóa tệp; thu thập thông tin hệ điều hành, quy trình, khóa đăng ký và dịch vụ, khả năng chạy lệnh thông qua cmd.exe, chụp màn hình, tạo hoặc kết thúc quy trình, lấy tiêu đề của cửa sổ cấp cao nhất và tùy chọn đóng máy tính.

Tin tặc Trung Quốc dành 3 năm để tạo cửa hậu theo dõi một chính phủ Đông Nam Á

Cửa hậu kết nối với C&C để truyền dữ liệu bị đánh cắp và máy chủ này cũng có thể được sử dụng để lấy và thực thi các tải trọng phần mềm độc hại bổ sung. Các C&C giai đoạn đầu được đặt ở Hồng Kông và Malaysia, trong khi máy chủ C&C cửa hậu được đặt tại một nhà cung cấp của Mỹ.

CPR tin rằng có khả năng cửa hậu nhiều khả năng xuất phát từ tin tặc Trung Quốc do lịch trình hoạt động hạn chế: từ 1 giờ sáng đến 8 giờ sáng theo giờ UTC. Quan trọng hơn, các liên kết của cửa hậu được phát hiện kết nối với địa chỉ web của Baidu.

Tin tặc Trung Quốc dành 3 năm để tạo cửa hậu theo dõi một chính phủ Đông Nam Á

Lotem Finkelsteen, người đứng đầu bộ phận tình báo về mối đe dọa tại CPR, nhận xét: “Chúng tôi biết rằng những kẻ tấn công không chỉ quan tâm đến dữ liệu lạnh mà còn cả những gì đang xảy ra trên máy tính cá nhân của mục tiêu, dẫn đến gián điệp trực tiếp. Mặc dù chúng tôi đã giúp ngăn chặn hoạt động giám sát bởi tin tặc đối với chính phủ Đông Nam Á được mô tả nhưng nhóm này có thể mở rộng hoạt động của chúng ra các mục tiêu khác trên thế giới”./.