Cảnh báo chiến dịch tấn công của nhóm APT “MirrorFace”
29/08/2024
Lượt xem: 53
Sở Thông tin và Truyền thông tỉnh Nghệ An vừa có Công văn số1577/STTTT-CĐS ngày 7/8/2024 về việc cảnh báo chiến dịch tấn công của nhóm APT “MirrorFace” theo nội dung Công văn số 1543/CATTT-NCSC ngày 06/08/2024 của Cục An toàn thông tin, Bộ Thông tin và Truyền thông.
Một số IoC liên quan đến các tấn công gần đây.
THÔNG TIN CHI TIẾT VỀ LỖ HỔNG AN TOÀN THÔNG TIN
Theo thông tin
chi tiết được gửi kèm theo Công văn số 1543/CATTT-NCSC ngày 06/08/2024 của Cục
An toàn thông tin, Bộ Thông tin và Truyền thông,
1. Thông
tin chi tiết về chiến dịch tấn công của nhóm APT “MirrorFace”
Gần đây, đã phát hiện và ghi nhận chiến dịch tấn công trên không gian mạng của nhóm
tấn công MirrorFace nhằm vào các tổ chức tài chính, viện nghiện cứu và nhà sản xuất. Nhóm đã
thực hiện khai thác các lỗ hổng an toàn thông tin trên sản phẩm Array AG và FortiGate nhằm phát tán mã độc NOOPDOOR.
Mã độc NOOPDOOR là một shellcode được gài vào ứng dụng hợp pháp trên hệ thống và
có hai biến thể dưới dạng file .XML và .DLL. Cả hai biến thể này chỉ khác về bước xâm nhập
và giống nhau về chức năng, cho phép nhóm MirrorFace thiết lập kết nối thông qua cổng
443, cổng 47000 để tải xuống file, thực thi câu lệnh,…
Sau khi phát tán mã độc trong
chiến dịch tấn công, nhóm này thực hiện các hành trái phép như: truy cập vào nơi lưu trữ thông tin xác thực của hệ thống mạng, phát tán mã độc tới các thiết bị khác trong mạng cục bộ; thực hiện các hành vi theo dõi, trích xuất thông tin người dùng. Ngoài ra, MirrorFace còn sử dụng công cụ GO Simple Tunnel
trong chiến dịch. Để
tránh bị phát hiện, nhóm đối tượng đã khai thác MSBuild để thực thi file .XML chứa mã độc;
ghi
đè dữ liệu độc hại lên registry của file; chỉnh sửa timestamp; thêm luật vào tường lửa hệ thống để cho phép mã độc được kết nối tới các cổng nhất định; ẩn đi các dịch vụ được kích hoạt; xóa đi ghi chép của Windows Event; xóa file mã độc sau khi khai thác. Chiến dịch sử
dụng kỹ thuật DLL side-loading và
khai thác MSBuild để thực thi mã độc trên hệ thống.
Các đơn vị có thể
tải xuống các mã IOC tại:
https://alert.khonggianmang.vn/
2. Tài liệu tham
khảo:
https://blogs.jpcert.or.jp/en/2024/07/mirrorface-attack-against-japanese-organisations.html
BAN VHTT
XÃ