Tin tặc APT41 Trung Quốc nhắm mục tiêu vào các thiết bị di động bằng phần mềm gián điệp WyrmSpy và DragonEgg mới

Nhân tố có liên hệ chặt chẽ với nhà nước quốc gia Trung Quốc được gọi là APT41 đã được liên kết với hai chủng phần mềm gián điệp Android không có giấy tờ trước đây có tên là WyrmSpy và DragonEgg.

Lookout cho biết: “Được biết đến với việc khai thác các ứng dụng giao diện web và xâm nhập vào các thiết bị đầu cuối truyền thống, một tác nhân đe dọa lâu đời như APT 41 bao gồm cả thiết bị di động trong kho phần mềm độc hại của nó cho thấy các thiết bị đầu cuối di động là mục tiêu có giá trị cao với dữ liệu cá nhân và công ty được thèm muốn như thế nào”. trong một báo cáo được chia sẻ với The Hacker News.

APT41, còn được theo dõi dưới các tên Axiom, Blackfly, Brass Typhoon (trước đây là Barium), Bronze Atlas, HOODOO, Wicked Panda và Winnti, được biết là đã hoạt động ít nhất từ năm 2007, nhắm mục tiêu vào nhiều ngành công nghiệp để thực hiện hành vi trộm cắp tài sản trí tuệ .

Các cuộc tấn công gần đây do tập thể đối thủ thực hiện đã tận dụng một công cụ hợp tác màu đỏ nguồn mở có tên là Google Command and Control (GC2) như một phần của các cuộc tấn công nhằm vào các nền tảng truyền thông và việc làm ở Đài Loan và Ý.

Vectơ xâm nhập ban đầu cho chiến dịch phần mềm giám sát di động không được biết, mặc dù nó bị nghi ngờ có liên quan đến việc sử dụng kỹ thuật xã hội. Lookout cho biết họ phát hiện WyrmSpy lần đầu tiên vào đầu năm 2017 và DragonEgg vào đầu năm 2021, với các mẫu mới của loại thứ hai được phát hiện gần đây vào tháng 4 năm 2023.

WyrmSpy chủ yếu giả dạng một ứng dụng hệ thống mặc định được sử dụng để hiển thị thông báo cho người dùng. Tuy nhiên, các biến thể sau này đã đóng gói phần mềm độc hại vào các ứng dụng mạo danh nội dung video người lớn, Baidu Waimai và Adobe Flash. Mặt khác, DragonEgg đã được phân phối dưới dạng bàn phím Android của bên thứ ba và các ứng dụng nhắn tin như Telegram.

Không có bằng chứng nào cho thấy các ứng dụng giả mạo này đã được phát tán qua Cửa hàng Google Play. Chính xác ai hoặc bao nhiêu nạn nhân có thể đã bị WyrmSpy và DragonEgg nhắm đến vẫn chưa được xác định.

Các kết nối của WyrmSpy và DragonEgg với APT41 phát sinh từ việc sử dụng máy chủ và lệnh (C2) có địa chỉ IP 121.42.149[.]52, phân giải thành một miền ("vpn2.umisen[.]com") đã được xác định trước đó liên kết với cơ sở hạ tầng của nhóm.

Sau khi được cài đặt, cả hai chủng phần mềm độc hại đều yêu cầu quyền xâm nhập và được trang bị khả năng thu thập và trích xuất dữ liệu tinh vi, thu thập ảnh, vị trí, tin nhắn SMS và bản ghi âm của người dùng.

Phần mềm độc hại cũng đã được quan sát dựa trên các mô-đun được tải xuống từ máy chủ C2 hiện ngoại tuyến sau khi cài đặt ứng dụng để tạo điều kiện thuận lợi cho việc thu thập dữ liệu, đồng thời tránh bị phát hiện.

Về phần mình, WyrmSpy có khả năng vô hiệu hóa Security-Enhanced Linux (SELinux), một tính năng bảo mật trong Android và sử dụng các công cụ root như KingRoot11 để có được các đặc quyền nâng cao trên các thiết bị cầm tay bị xâm nhập. Một tính năng đáng chú ý của DragonEgg là nó thiết lập liên hệ với máy chủ C2 để tìm nạp một mô-đun cấp ba không xác định đóng vai trò là một chương trình pháp y.

"Việc phát hiện ra WyrmSpy và DragonEgg là một lời nhắc nhở về mối đe dọa ngày càng tăng do phần mềm độc hại Android tiên tiến gây ra", Kristina Balaam, nhà nghiên cứu mối đe dọa cấp cao tại Lookout, cho biết. "Các gói phần mềm gián điệp này rất tinh vi và có thể được sử dụng để thu thập nhiều loại dữ liệu từ các thiết bị bị nhiễm."

Những phát hiện được đưa ra khi Mandiant tiết lộ các chiến thuật đang phát triển được các nhóm gián điệp Trung Quốc áp dụng để bay theo radar, bao gồm vũ khí hóa các thiết bị mạng và phần mềm ảo hóa, sử dụng botnet để làm xáo trộn lưu lượng giữa cơ sở hạ tầng C2 và môi trường nạn nhân, đồng thời tạo đường hầm cho lưu lượng độc hại bên trong mạng nạn nhân thông qua việc bị xâm phạm. các hệ thống.

Công ty tình báo mối đe dọa thuộc sở hữu của Google cho biết: “Việc sử dụng botnet, ủy quyền lưu lượng truy cập trong mạng bị xâm nhập và nhắm mục tiêu vào các thiết bị biên không phải là chiến thuật mới, cũng không phải là chiến thuật duy nhất đối với các tác nhân gián điệp mạng Trung Quốc”. "Tuy nhiên, trong thập kỷ qua, chúng tôi đã theo dõi việc các tác nhân gián điệp mạng Trung Quốc sử dụng những chiến thuật này và các chiến thuật khác như một phần của quá trình phát triển rộng lớn hơn hướng tới các hoạt động có mục đích, lén lút và hiệu quả hơn."

Hương – Theo TheHackerNews