Tin tặc đã sử dụng kỹ thuật tấn công trung gian (AitM) tiên tiến để chiếm quyền điều khiển cổng mạng bị khóa và chuyển hướng mục tiêu đến phần mềm độc hại giai đoạn đầu.

Nhóm tình báo về mối đe dọa của Google (GTIG) đã theo dõi nhóm tác nhân đe dọa này với mã hiệu UNC6384 và dựa trên công cụ, mục tiêu cũng như cơ sở hạ tầng để tin rằng, nó có liên quan đến tác nhân đe dọa Trung Quốc TEMP.Hex, còn được gọi là Mustang Panda và Silk Typhoon.

Chiếm quyền điều khiển các yêu cầu Chrome

Các nhà nghiên cứu của GTIG tin rằng, kỹ thuật tấn công trung gian (AitM) có thể xảy ra sau khi xâm nhập một thiết bị biên trên mạng mục tiêu, tuy nhiên họ chưa tìm thấy bằng chứng nào ủng hộ giả thuyết này.

Cuộc tấn công bắt đầu khi trình duyệt Chrome được kiểm tra xem có nằm sau cổng mạng bị khóa hay không, đây là một trang web nơi người dùng của một mạng xác thực trước khi kết nối Internet.

Khi tin tặc có thể chiếm quyền điều khiển lưu lượng truy cập web, chúng chuyển hướng mục tiêu đến một trang đích giả mạo trang web cập nhật phần mềm bổ sung (plugin) của Adobe. Nạn nhân tải xuống tệp 'AdobePlugins.exe' được ký số, hiển thị dưới dạng bản cập nhật plugin bắt buộc, và được hướng dẫn từng bước trên trang web để bỏ qua lời nhắc bảo mật của Windows trong khi cài đặt.

Việc khởi chạy tệp đó sẽ hiển thị trình cài đặt Microsoft Visual C++, nhưng nó bí mật tải xuống một gói ngụy trang (20250509.bmp) chứa một công cụ máy in Canon hợp pháp, một thư viện liên kết động chứa vô số các chương trình nhỏ (DLL) như CANONSTAGER và cửa hậu SOGU.SEC ở dạng được mã hóa RC-4.

CANOSTAGER giải mã và tải payload cuối cùng vào bộ nhớ hệ thống bằng kỹ thuật tải phụ DLL.

SOGU.SEC, mà Google cho biết là một biến thể của phần mềm độc hại PlugX, được nhiều nhóm tin tặc Trung Quốc sử dụng rộng rãi, có thể thu thập thông tin hệ thống, tải lên hoặc tải xuống tệp dữ liệu và cung cấp cho tin tặc một shell lệnh từ xa.

Các nhà nghiên cứu của GTIG lưu ý rằng, hiện vẫn chưa rõ liệu thực thể ký các tệp được sử dụng trong chiến dịch này, Công ty TNHH Công nghệ Thời báo Thành Đô Nuoxin, có cố tình tham gia vào các hoạt động này hay là nạn nhân bị xâm phạm hay không.

Tuy nhiên, GTIG đã theo dõi ít ​​nhất 25 mẫu phần mềm độc hại được thực thể này ký kể từ đầu năm 2023, liên quan đến nhiều nhóm hoạt động khác nhau của Trung Quốc.

Việc coi tất cả các chứng chỉ từ Công ty TNHH Công nghệ Thời báo Thành Đô Nuoxin là không đáng tin cậy là một hành động phòng thủ hợp lý cho đến khi mọi thông tin trở nên rõ ràng hơn.

Google đã chặn các tên miền và mã băm tệp độc hại thông qua tính năng Duyệt web An toàn và đã đưa ra cảnh báo về kẻ tấn công do chính phủ hậu thuẫn cho người dùng Gmail và Workspace bị ảnh hưởng.

Gã khổng lồ công nghệ này cũng đã chia sẻ các quy tắc YARA để phát hiện STATICPLUGIN và CANONSTAGER, cũng như các chỉ báo xâm phạm (IoC) cho tất cả các tệp được lấy mẫu từ các cuộc tấn công này.

Chiến dịch mới nhất này cho thấy sự tinh vi ngày càng tăng của các tác nhân gián điệp có liên hệ với Trung Quốc, những kẻ rất có thể sẽ chuyển sang cơ sở hạ tầng và bản dựng nhị phân mới và nhanh chóng phục hồi.

Hà Linh