Tin tặc TetrisPhantom mới đánh cắp dữ liệu từ ổ USB bảo mật trên hệ thống của Chính phủ



Ổ USB bảo mật lưu trữ các tập tin trong một phần được mã hóa của thiết bị và được sử dụng để truyền dữ liệu một cách an toàn giữa các hệ thống, bao gồm cả các hệ thống trong môi trường air-gapped.

Phần mềm có thể truy cập vào phân vùng được bảo vệ thông qua phần mềm tùy chỉnh giải mã nội dung dựa trên mật khẩu do người dùng cung cấp. Một phần mềm như vậy là UTetris.exe, được đóng gói dựa trên một phần không được mã hóa của ổ USB.

Các nhà nghiên cứu bảo mật đã phát hiện ra các phiên bản trojan của ứng dụng UTetris được triển khai trên các thiết bị USB bảo mật trong một chiến dịch tấn công đã diễn ra ít nhất vài năm và nhắm vào các hệ thống Chính phủ trong khu vực APAC.

Theo báo cáo mới nhất của Kaspersky về xu hướng APT, TetrisPhantom sử dụng nhiều công cụ, lệnh và thành phần phần mềm độc hại khác nhau để chỉ ra một nhóm mối đe dọa tinh vi và có nguồn lực mạnh.

“Cuộc tấn công bao gồm các công cụ và kỹ thuật phức tạp, bao gồm cả việc làm rối mã nguồn phần mềm dựa trên ảo hóa đối với các thành phần phần mềm độc hại, giao tiếp cấp thấp với ổ USB bằng các lệnh SCSI trực tiếp, tự sao chép thông qua các ổ USB bảo mật được kết nối để truyền tới các hệ thống air-gap khác và injection mã vào chương trình quản lý truy cập hợp pháp trên ổ USB, hoạt động như một trình tải phần mềm độc hại trên máy mới.” - Kaspersky

Chi tiết tấn công

Kaspersky đã giải thích chi tiết để bổ sung cho thông tin của BleepingComputer, họ cho biết cuộc tấn công bằng ứng dụng Utetris bị nhiễm trojan bắt đầu bằng việc thực thi trên máy mục tiêu một payload có tên AcroShell.

AcroShell thiết lập một đường dây liên lạc với máy chủ chỉ huy và kiểm soát (C2) của kẻ tấn công và có thể tìm nạp và chạy các payload bổ sung để đánh cắp tài liệu và tệp nhạy cảm, đồng thời thu thập thông tin chi tiết cụ thể về ổ USB mà mục tiêu sử dụng.

Các tác nhân đe dọa cũng sử dụng thông tin được thu thập theo cách này để nghiên cứu và phát triển một phần mềm độc hại khác có tên XMKR và UTetris.exe bị trojan hóa.

"Mô-đun XMKR được triển khai trên máy Windows và chịu trách nhiệm xâm phạm các ổ USB an toàn được kết nối với hệ thống nhằm phát tán cuộc tấn công sang các hệ thống có khả năng bị air-gap" - Kaspersky

Các khả năng của XMKR trên thiết bị bao gồm đánh cắp các tập tin nhằm mục đích gián điệp và dữ liệu được ghi trên ổ USB.

Thông tin trên USB bị xâm nhập sau đó sẽ được chuyển đến máy chủ của kẻ tấn công khi thiết bị lưu trữ cắm vào máy tính có kết nối internet bị nhiễm AcroShell.

Kaspersky đã truy xuất và phân tích hai biến thể thực thi Utetris độc hại, một biến thể được sử dụng từ tháng 9 đến tháng 10 năm 2022 (phiên bản 1.0) và một biến thể khác được triển khai trong các mạng của chính phủ từ tháng 10 năm 2022 đến nay (phiên bản 2.0).

Kaspersky cho biết những cuộc tấn công này đã diễn ra ít nhất vài năm nay và hoạt động gián điệp luôn là trọng tâm của TetrisPhantom. Các nhà nghiên cứu đã quan sát thấy một số lượng nhỏ các trường hợp lây nhiễm trên mạng của Chính phủ, cho thấy đây là một hoạt động có chủ đích.

Nguồn: bleepingcomputer.com