🔥 Sở Lao động - Thương binh và Xã hội tỉnh Quảng Nam đã đăng ký tín nhiệm. 🔥                    🔥 Sở Ngoại vụ tỉnh Hà Tĩnh đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng HĐND và UBND huyện Ngọc Hồi, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Sở Công Thương tỉnh Ninh Bình đã đăng ký tín nhiệm. 🔥                    🔥 Trung tâm Xúc tiến thương mại và Đầu tư tỉnh An Giang đã đăng ký tín nhiệm. 🔥                   

APT Trung Quốc Sharp Panda sử dụng Soul Framework để nhắm mục tiêu các chính phủ Đông Nam Á

08/03/2023

Các tổ chức chính phủ cấp cao ở Đông Nam Á đang bị nhắm mục tiêu bởi chiến dịch gián điệp mạng do một tác nhân đe dọa Trung Quốc có tên là Sharp Panda thực hiện kể từ cuối năm ngoái.

Các cuộc xâm nhập được đặc trưng với việc sử dụng phiên bản mới của Soul framework, đánh dấu sự khác biệt so với các cuộc tấn công trước đây của nhóm được phát hiện vào năm 2021.

Công ty bảo mật Check Point của Israel cho biết hoạt động trước đây của nhóm tập trung nhắm mục tiêu đến các quốc gia Đông Nam Á như Việt Nam, Thái Lan và Indonesia. Sharp Panda lần đầu tiên được công ty báo cáo vào tháng 6 năm 2021.

Việc sử dụng backdoor Soul đã được Symantec của Broadcom báo cáo vào tháng 10 năm 2021 liên quan đến một hoạt động gián điệp chưa xác định nhắm vào các lĩnh vực quốc phòng, y tế và CNTT-TT ở Đông Nam Á.

Theo Fortinet FortiGuard Labs, phần mềm độc hại đã có từ tháng 10 năm 2017,  được xây dựng bằng cách tái sử dụng mã nguồn của trojan Gh0st và các công cụ có sẵn công khai khác.

Check Point cho biết rằng chuỗi tấn công bắt đầu bằng một email lừa đảo có chứa tài liệu nhử sử dụng tệp văn bản có định dạng RTF của Royal Road để lây nhiễm một công cụ tải xuống (downloader) bằng cách khai thác một lỗ hổng trong Microsoft Equation Editor.

Downloader được thiết kế để truy xuất đến một loader khác, SoulSearcher, từ máy chủ điều khiển tấn công (C2). Máy chủ này chỉ phản hồi các yêu cầu (request) bắt nguồn từ các địa chỉ IP tương ứng với các quốc gia bị nhắm mục tiêu.

SoulSearcher chịu trách nhiệm tải xuống, giải mã và thực thi backdoor Soul và các thành phần bổ sung khác, cho phép kẻ tấn công thu thập nhiều loại thông tin.

"Cấu hình backdoor chứa tính năng ‘radio silence’, các tác nhân đe dọa có thể thông qua nó để chỉ định khoảng thời gian backdoor không được phép giao tiếp với máy chủ C2".

Những phát hiện này là một dấu hiệu khác cho thấy việc chia sẻ công cụ phổ biến giữa các nhóm đe dọa APT của Trung Quốc để tạo điều kiện cho việc thu thập thông tin tình báo.

Công ty cho biết: “Mặc dù Soul framework đã được sử dụng ít nhất từ ​​năm 2017, nhưng những kẻ đe dọa đằng sau nó đã liên tục cập nhật và điều chỉnh kiến ​​trúc cũng như khả năng của nó”.

Công ty lưu ý thêm rằng chiến dịch có khả năng "được dàn dựng bởi các tác nhân đe dọa nâng cao được Trung Quốc hậu thuẫn, với các công cụ, khả năng và vị trí chưa được biết đến trong mạng lưới hoạt động gián điệp rộng lớn".

Nguồn: thehackernews.com.

scrolltop