CMC cảnh báo chiến dịch tấn công APT vào các cơ quan hành chính Nhà nước Việt Nam

CMC cảnh báo chiến dịch APT đang tấn công vào các cơ quan hành chánh Nhà nước Việt Nam.

Công ty CMC Cyber Security đã có các phân tích sâu về những file mã độc được sử dụng trong chiến dịch tấn công này. Qua quá trình tìm hiểu và phân tích các dấu hiệu, kiểu dáng độc phục vụ cho cuộc tiến công này, các chuyên gia phân tích mã độc của CMC Cyber Security nhận định nhóm tấn công có khả năng bắt nguồn từ Trung Quốc. Cụ thể, chuyên gia xác định được những văn bản độc hại tấn công vào Việt Nam trong chiến dịch này bắt nguồn từ nhóm Mustang Panda, một nhóm tin tặc được đánh giá rất cao bởi những chiến dịch rất bài bản, có kỹ thuật và chiến thuật đặc biệt.

Các mẫu thu được sau khi phân tích có thể chia thành hai loại. Mỗi loại sử dụng một cách thực thi payload khác nhau nhưng vẫn có một số đặc điểm chung sau: Các sample được gửi tới nạn nhân được nén trong file zip để né bị chặn bởi các ứng dụng. Trong file nén có chứa file shortcut .lnk đi cùng đuôi .doc(ví dụ sample.doc.lnk) để đánh lừa người dùng. File lnk đính kèm theo file hta có thể thực thi được script. Script mở file document đính kèm cho người sử dụng và ngầm thực thi payload.

Với loại thứ nhất, mẫu là một file shortcut có phần mở rộng đuôi là .lnk, thường được đặt tên đi cùng đuôi .doc để xí gạt người dùng do đuôi .lnk sẽ được Windows ẩn đi. Điểm đáng ngờ là ở phần target của file shortcut. Tuy nhiên, target của mẫu chứa một đoạn command khởi chạy tiến trình Mshta.exe để thực thi file hta nhúng kèm. Khi người sử dụng mở file lnk, máy sẽ thực thi command trong target của file lnk và thực thi file mshta.exe để mở chính nó.

Tương tự như loại một, loại hai cũng chính là một file lnk được nhúng vào trước file hta. Ở giai đoạn thực thi vbscript, đoạn script trong malware sẽ giải mã và lưu vào thư mục %temp% 2 file binary, 1 file là payload và 1 file document để hiển thị cho người dùng.

Dữ liệu người đã biết thành hacker tấn công

Mục đích của tất các các mẫu thu thập được đều là connect đến c&c server, download các mã độc nhằm đánh cắp tin tức người sử dụng và cung cấp chức năng điều khiển máy từ xa.

Điều đáng nói nhất là độ tinh xảo trong những file tài liệu được tạo ra nhằm xí gạt người dùng. Khác với những mẫu AP ta phải đối diện một vài năm trước, tài liệu “mồi” được viết rất cẩu thả, câu cú lủng củng, tư liệu chắp vá với hình thức không thích hợp với văn bản chính quy thì gần đây, độ chính xác và tỉ mỉ trong các văn bản tiến công rất dễ lừa được người dùng. Đặc biệt ngay cả trong nội dung, văn bản cũng được bộc lộ rõ mục đích chính trị.

Trước việc chống lại toàn diện chiến dịch tiến công APT không dễ khăn, các chuyên gia của CMC Cyber Security mang ra khuyến nghị cho khách hàng các biện pháp ngăn ngừa, giảm thiểu và phát hiện sớm các tai hại của tấn công APT.

Đối với những người dùng hãy cẩn trọng khi tiếp nhận email, đường link, tệp tin lạ; xác thực chuẩn xác nguồn gửi an toàn, đáng tin cậy; sử dụng các công cụ Endpoint Security.

Đối với doanh nghiệp nên tiến hành các hệ thống giám sát, phát hiện hoặc chống lại đột nhập trái phép; định kỳ đánh giá, kiểm định các mối nguy hại đối với hệ thống. Doanh nghiệp cần nâng lên nhận thức của từng cá nhân trong tập thể về tránh nhiệm đảm bảo an ninh, an toàn tin tức và có kế hoạch đối phó với sự cố.

Hiện nay CMC Cyber Security đã có phần mềm chuyên biệt dành cho mã độc mã hoá dữ liệu bản mới nhất của CMC Antivirus/CMC Internet Security, người sử dụng cá nhân cũng có thể có thể cài ứng dụng chống virus trên di động và máy tính để chống lại kịp lúc trước lúc máy tính bị lây nhiễm.

APT là tên viết tắt của Advanced Persistent Threat – thuật ngữ rộng dùng làm mô tả một chiến dịch tấn công, thường do 1 nhóm các kẻ tấn công, sử dụng những kỹ thuật tiến công nâng cao để tạo nên thể hiện diện và hiện diện lâu dài trên mạng Internet nhằm khai thác dữ liệu có độ nhạy cảm cao.