Nhóm Turla dùng công cụ cài đặt Adobe để phát tán mã độc

Thứ bảy, 13/01/2018, 17:16 (GMT+7) 0 Phản hồi

(Không gian mạng) - Ngày 09/01, hãng bảo mật ESET (Slovakia) báo cáo phát hiện các cuộc tấn công gần đây của nhóm gián điệp mạng Turla (Nga) sử dụng chiến thuật mới, tải mã độc từ những địa chỉ IP và URL có vẻ hợp pháp.

Nhóm Turla dùng công cụ cài đặt Adobe để phát tán mã độc

Nhóm Turla dùng công cụ cài đặt Adobe để phát tán mã độc

Turla là một nhóm APT từng tấn công rất nhiều mục tiêu, trong đó có Bộ Ngoại giao, gần đây dường như đã phát triển một chiến thuật nguy hiểm mới để cài đặt mã độc đánh cắp dữ liệu của nhóm này vào các hệ thống mục tiêu.

ESET cho biết gần đây họ đã quan sát Turla đóng gói một trong số các backdoor với công cụ cài đặt của Adobe Flash và tải mã độc vào máy nạn nhân từ các địa chỉ IP và URL Adobe hợp pháp.

Đối với các hệ thống đầu cuối bị nhắm mục tiêu, mã độc được tải về từ địa chỉ IP từ xa của hãng Akamai, mạng lưới phân phối nội dung được Adobe chính thức sử dụng để phân phối trình cài đặt Flash của Adobe. Điều này gây khó khăn hơn nhiều để phát hiện ra thủ đoạn bên trong.

Turla sau đó sẽ thu nhận các thông tin hệ thống nhạy cảm gửi từ máy tính bị nhiễm mã độc đến các URL hợp pháp tại Adobe.com. Tất cả các nỗ lực tải về mà ESET quan sát đều được thực hiện qua HTTP chứ không qua HTTPS. ESET cho biết: “Chúng tôi có thể khẳng định rằng Adobe không bị xâm nhập. Những kẻ tấn công chỉ sử dụng thương hiệu Adobe để lừa người dùng tải về mã độc”.

Nhóm Turla từ lâu đã sử dụng các kỹ thuật xã hội để lừa nạn nhân cài đặt phần mềm độc vào hệ thống của họ. Thông thường, tin tặc hay sử dụng các trình cài đặt Adobe Flash giả mạo. Chiến dịch mới này dường như đã bắt đầu vào tháng 7/2016, đánh dấu lần đầu tiên Turla tải phần mềm độc hại qua HTTP từ các URL và địa chỉ IP hợp pháp.

Phần lớn nạn nhân của chiến dịch nằm ở các quốc gia thuộc Liên Xô cũ. Mục tiêu của nhóm chủ yếu là các đại sứ quán và lãnh sự quán của một số quốc gia Đông Âu.

Jean-Ian Boutin, nhà nghiên cứu mã độc cấp cao của ESET cho biết: “Kịch bản có khả năng xảy ra nhất là các khả năng tình báo tín hiệu (SIGINT) nhưng không có nhiều tin tặc có khả năng này”.

Theo ESET, vẫn chưa thể xác định chính xác các cách thức Turla phân phối mã độc của nhóm qua Adobe.com như thế nào. Nhưng các nhà nghiên cứu cũng đưa ra một số giả thuyết có thể xảy ra.

Có một cách để nhóm tin tặc có thể thực hiện nhưng với điều kiện nhóm đã xâm nhập được vào hệ thống trong mạng lưới của nạn nhân để thực hiện một cuộc tấn công MiTM. Trong trường hợp đó, tin tặc có thể chuyển hướng lưu lượng truy cập từ hệ thống mục tiêu qua máy chủ bị xâm nhập và sửa đổi nó ngay lập tức. Mặc dù nhóm Turla trước đây chưa có công cụ để thực hiện cuộc tấn công như vậy, nhưng theo ESET, việc xây dựng công cụ này là khá đơn giản đối với Turla.

Nhóm Turla cũng có thể sử dụng một cửa ngõ nội bộ bị xâm nhập để tiến hành một cuộc tấn công MiTM tương tự. Trong trường hợp này, nhóm có thể đánh chặn và sửa đổi lưu lượng truy cập cho toàn bộ tổ chức nếu cần, ngay cả trước khi tổ chức có mạng nội bộ. Nhóm này đã có một rootkit có tên Uroburos có thể dễ dàng được chỉnh sửa để đánh chặn lưu lượng truy cập trực tiếp và tiêm mã độc vào bên trong, ESET cho biết.

Theo ESET, còn hai kịch bản khác mang ít khả năng hơn là Turla đang thực hiện cuộc tấn công MiTM ở cấp nhà cung cấp dịch vụ Internet (ISP), hoặc dùng kỹ thuật BGP hijacking để đảm bảo lưu lượng nguy hiểm không tấn công các máy chủ của Adobe.

Boutin giải thích: “Có nhiều khả năng có thể giải thích cho hành vi này. Chúng tôi tin rằng kịch bản có khả năng xảy ra nhất là các thủ thuật điều khiển HTTP nhờ bộ định tuyến do tin tặc kiểm soát, có thể ở trong tổ chức hoặc ở cấp độ của ISP”.

Lâm Quang Dũng (Lược dịch từ: Dark Reading)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
  • Share on Link Hay!
  • Facebook
  • Twitter

Ban Biên Tập

Đọc tin mới qua Email:

Mọi ý kiến đóng góp xin gửi về địa chỉ
[email protected]

Facebook Lê Thanh Hải

Mạng Xã Hội

Lê Thanh Hải
Lê Thanh Hải