BlackBerry เชื่อมโยงแคมเปญมัลแวร์ที่กำหนดเป้าหมายเหยื่อในอินเดียกับกลุ่มจารกรรมทางไซเบอร์ของจีน

ทีมวิจัยและข่าวกรองของ BlackBerry ปล่อยแล้ว รายงานใหม่ในวันอังคารที่เชื่อมโยงแคมเปญมัลแวร์ที่แตกต่างกันกับกลุ่มจารกรรมทางไซเบอร์ของจีน APT41 โดยสังเกตว่ากลุ่มดังกล่าวได้รับ ใช้ประโยชน์จากกิจกรรม Cobalt Strike โดยใช้โปรไฟล์ Malleable C2 ตามความต้องการซึ่งใช้เหยื่อฟิชชิ่ง COVID-19 เพื่อกำหนดเป้าหมายเหยื่อใน อินเดีย.

ทีมงานสามารถเชื่อมโยงเหยื่อฟิชชิ่งผ่านไฟล์ PDF และ ZIP ที่มีข้อมูลที่เกี่ยวข้องกับกฎหมายภาษีและ โควิด 19 สถิติปลอมแปลงว่ามาจากหน่วยงานรัฐบาลอินเดีย

รัฐบาลสหรัฐฯ ยื่น ถูกตั้งข้อหาในปี 2020 ต่อสมาชิก APT41 ห้ารายจากการแฮ็กข้อมูลในบริษัทมากกว่า 100 แห่งทั่วโลก เจ้าหน้าที่สหรัฐฯ กล่าวว่าสมาชิก APT41 สามารถโจมตีเครือข่ายคอมพิวเตอร์ของรัฐบาลต่างประเทศในอินเดียและเวียดนามได้ เช่นเดียวกับนักการเมืองและนักเคลื่อนไหวที่สนับสนุนประชาธิปไตยในฮ่องกง

กลุ่ม APT41 เป็นหนึ่งในกลุ่มแฮ็กเกอร์ที่ได้รับการสนับสนุนจากรัฐและมีชื่อเสียงมากที่สุดกลุ่มหนึ่ง การดำเนินงานของ ATP41 มีรายละเอียดเป็นครั้งแรกใน รายงานไฟร์อาย เผยแพร่ในเดือนสิงหาคม 2019 โดยมีรายงานที่เชื่อมโยงกลุ่มนี้กับการโจมตีด้านซัพพลายเชนที่ใหญ่ที่สุดในช่วงไม่กี่ปีที่ผ่านมา และการแฮ็กแบบเก่าๆ ที่จะเกิดขึ้นในต้นปี 2012

กลุ่มนี้ใช้โปรไฟล์ที่เปิดเผยต่อสาธารณะซึ่งออกแบบมาให้ดูเหมือนการรับส่งข้อมูลเครือข่ายที่ถูกต้องจาก Amazon, Gmail, OneDrive และอื่นๆ BlackBerry พบความเชื่อมโยงระหว่างแคมเปญนี้กับแคมเปญอื่นๆ ที่เผยแพร่โดย FireEye ในปี 2020 รวมถึง Prevailion, Subex และ PTSecurity

“ภาพที่เราค้นพบคือการรณรงค์ที่ได้รับการสนับสนุนจากรัฐ ซึ่งเล่นกับความหวังของผู้คนในการยุติโรคระบาดอย่างรวดเร็ว เพื่อล่อเหยื่อให้ติดกับดัก และเมื่ออยู่บนเครื่องของผู้ใช้ ภัยคุกคามจะรวมเข้ากับงานไม้ดิจิทัลโดยใช้โปรไฟล์ที่ปรับแต่งเองเพื่อซ่อนการรับส่งข้อมูลเครือข่าย” ทีมงานกล่าวในรายงาน

"APT41 เป็นกลุ่มภัยคุกคามทางไซเบอร์ที่ได้รับการสนับสนุนจากรัฐจีนซึ่งมีจำนวนมาก ซึ่งได้ดำเนินการรณรงค์มัลแวร์ที่เกี่ยวข้องกับการจารกรรมและกิจกรรมทางอาญาที่มีแรงจูงใจทางการเงิน ย้อนหลังไปถึงปี 2012 กลุ่มภัยคุกคามนี้ได้กำหนดเป้าหมายองค์กรทั่วโลกในหลายแนวดิ่ง เช่น การเดินทาง โทรคมนาคม การดูแลสุขภาพ ข่าวสาร และการศึกษา APT41 มักใช้อีเมลฟิชชิ่งพร้อมไฟล์แนบที่เป็นอันตรายเป็นเวกเตอร์การติดไวรัสระยะแรก เมื่อพวกเขาสามารถเข้าถึงองค์กรเป้าหมายได้ พวกเขามักจะใช้มัลแวร์ขั้นสูงเพิ่มเติมเพื่อสร้างฐานที่มั่นถาวร กลุ่มนี้ใช้ตระกูลมัลแวร์ต่างๆ ที่หลากหลาย รวมถึงการขโมยข้อมูล คีย์ล็อกเกอร์ และแบ็คดอร์"

นักวิจัยกล่าวว่าพวกเขาค้นพบสิ่งที่พวกเขาเชื่อว่าเป็นโครงสร้างพื้นฐาน APT41 เพิ่มเติมและฟิชชิ่ง ล่อลวงเหยื่อในอินเดียซึ่งมีข้อมูลที่เกี่ยวข้องกับกฎหมายภาษีใหม่และโควิด-19 สถิติ. ข้อความเหล่านี้อ้างว่ามาจากหน่วยงานรัฐบาลอินเดีย รายงานระบุ

เป้าหมายของการโจมตีคือการโหลดและเรียกใช้ Cobalt Strike Beacon บนเครือข่ายของเหยื่อโดยใช้เหยื่อฟิชชิ่งและสิ่งที่แนบมา

FireEye และบริษัทรักษาความปลอดภัยทางไซเบอร์อื่นๆ ใช้เวลาหลายปีในการบันทึกกลยุทธ์ของ APT41 ทีม BlackBerry กล่าวว่าพบโปรไฟล์ C2 ที่ปรับเปลี่ยนได้บน GitHub ซึ่งคล้ายกับโปรไฟล์ที่ FireEye กล่าวถึงและเขียนโดยนักวิจัยด้านความปลอดภัยชาวจีนโดยใช้นามแฝง '1135'

"โปรไฟล์เหล่านี้มีความคล้ายคลึงกันหลายประการ: ทั้งสองใช้โปรไฟล์ jQuery Malleable C2 และส่วนของบล็อกโปรไฟล์ HTTP GET เกือบจะเหมือนกัน ช่องส่วนหัว HTTP เช่น 'accept', 'user-agent', 'host' และ 'referer' รวมถึงช่อง 'set-uri' ล้วนตรงกันทุกประการกับข้อมูลโปรไฟล์ที่แสดงอยู่ในบล็อก FireEye" รายงานอธิบาย

"โดยการแยกและเชื่อมโยงส่วนหัว HTTP ที่ใช้ในคำขอ GET และ POST ที่กำหนดไว้ใน Beacon การกำหนดค่า เราสามารถสร้างการเชื่อมต่อที่เปิดเผยระหว่างโครงสร้างพื้นฐาน Cobalt Strike ที่ดูเหมือนจะแตกต่างกันได้ แม้ว่าเราจะระบุ Beacons จำนวนค่อนข้างน้อยโดยใช้โดเมน BootCSS ซึ่งเป็นส่วนหนึ่งของการกำหนดค่า C2 ที่ปรับเปลี่ยนได้ นอกจากนี้ยังมีคลัสเตอร์บางส่วนที่มีข้อมูลเมตาการกำหนดค่าเฉพาะซึ่งช่วยให้เราสามารถระบุบีคอนเพิ่มเติมที่เกี่ยวข้องได้ APT41. บีคอนที่ให้บริการโดยโหนดใหม่เหล่านี้ใช้โปรไฟล์ที่ปรับเปลี่ยนได้แตกต่างจากที่อยู่ในคลัสเตอร์ดั้งเดิมที่พยายามทำให้การรับส่งข้อมูลบีคอนดูเหมือนการรับส่งข้อมูลของ Microsoft ที่ถูกต้องตามกฎหมาย”

โดเมนที่ทีมงานพบก็มีรูปแบบการตั้งชื่อที่คล้ายกันเช่นกัน ในการพิจารณาแคมเปญนี้ BlackBerry ค้นพบชุด PDF สามชุดที่เชื่อมโยงกับโดเมน .microsoftdocs.workers[.]dev ที่กำหนดเป้าหมายไปที่เหยื่อในอินเดีย เหยื่อล่อให้สัญญาว่าจะให้ข้อมูลที่เกี่ยวข้องกับกฎการเก็บภาษีและคำแนะนำเกี่ยวกับโควิด-19

PDF แรกที่เกี่ยวข้องกับกฎภาษีประกอบด้วยสคริปต์ PowerShell ที่ฝังอยู่ซึ่งจะดำเนินการในขณะที่ PDF แสดงต่อผู้ใช้

"สคริปต์ PowerShell ดาวน์โหลดและดำเนินการเพย์โหลดผ่าน "%temp%\conhost.exe' ซึ่งจะโหลดไฟล์เพย์โหลดที่เรียกว่า 'event.dat' ไฟล์ .DAT นี้เป็น Cobalt Strike Beacon เหยื่อตัวที่สองและสามแต่ละตัวมีขั้นตอนการดำเนินการและส่วนประกอบที่คล้ายกัน ไฟล์ PDF Lure, conhost.exe และเหตุการณ์* เพย์โหลด ในกรณีนี้ ไฟล์เหตุการณ์เหล่านี้มีนามสกุล .LOG แทนที่จะเป็น .DAT" รายงานพบ

“ข้อแตกต่างที่ใหญ่ที่สุดระหว่างเหยื่อตัวที่สองและตัวที่สามก็คือ เหยื่อตัวแรกใช้ไฟล์ที่ขยายในตัวได้เอง ชื่อ 'อินเดียบันทึกสถิติสูงสุดเท่าที่เคยมีมา” COVID-19 recovery.pdf.exe วันเดียว' และไฟล์ที่สองใช้ไฟล์ ZIP ชื่อ 'อินเดียบันทึกข้อมูล COVID-19 recovery.zip ในวันเดียวที่สูงที่สุดเท่าที่เคยมีมา' Lures ที่สองและสามยังมีข้อมูลเดียวกันภายใน PDF ที่เกี่ยวข้อง ทั้งสองเกี่ยวข้องกับจำนวนที่สูงเป็นประวัติการณ์ การฟื้นตัวของโควิด-19 ในอินเดีย ข้อมูลที่อ้างว่ามาจากกระทรวงสาธารณสุขและครอบครัวของรัฐบาลอินเดีย สวัสดิการ."

นักวิจัยตั้งข้อสังเกตว่ารายงานเมื่อเดือนกันยายน 2020 ที่ผ่านมาจาก Subex พบว่าความพยายามฟิชชิ่งที่คล้ายกันนี้มุ่งเป้าไปที่ชาวอินเดียด้วย รายงานดังกล่าวระบุถึงการโจมตีของกลุ่ม Evilnum APT แต่นักวิจัยของ BlackBerry ไม่เห็นด้วย โดยอ้างถึงสาเหตุหลายประการที่พวกเขาเชื่อว่าผู้ร้ายคือ APT41

ตามข้อมูลของ BlackBerry เพย์โหลดจริงๆ แล้วคือ Cobalt Strike Beacons ซึ่งเป็นจุดเด่นของ APT41 และมีการตั้งค่าหลายอย่างที่เชื่อมโยงการโจมตีกับ APT41

"ด้วยทรัพยากรของกลุ่มภัยคุกคามระดับประเทศ จึงเป็นไปได้ที่จะสร้างระดับความหลากหลายที่น่าทึ่งอย่างแท้จริงในโครงสร้างพื้นฐานของพวกเขา และถึงแม้ไม่มีกลุ่มรักษาความปลอดภัยกลุ่มใดมีเงินทุนในระดับเดียวกัน แต่เรารวบรวมพลังสมองร่วมกัน ยังสามารถค้นพบร่องรอยที่อาชญากรไซเบอร์ที่เกี่ยวข้องทำงานอย่างหนักเพื่อซ่อนได้” นักวิจัย เพิ่ม