Tội phạm mạng Trung Quốc xâm nhập vào các nhà cung cấp dịch vụ viễn thông trong thời gian dài

Một tác nhân đe dọa được cho là đến từ Trung Quốc có tên là Weaver Ant đã bí mật truy cập vào một nhà cung cấp dịch vụ viễn thông lớn ở Châu Á trong nhiều năm mà không để lại dấu vết. Tuy nhiên, khi đang triển khai một chiến dịch tinh vi nhằm đánh cắp dữ liệu, tin tặc Weaver Ant đã.

Cuộc điều tra pháp y quy mô lớn do Sygnia, một công ty an ninh mạng thực hiện, cho thấy tội phạm mạng đã liên tục truy cập vào dữ liệu nhạy cảm cho mục đích gián điệp. Báo cáo không tiết lộ tên của công ty bị ảnh hưởng.

Nhóm bảo mật đã phát hiện ra rằng, web shell - các tập lệnh độc hại được nhúng trong các máy chủ web bị xâm phạm đã được triển khai trên một máy chủ nội bộ, duy trì chỗ đứng của tác nhân đe dọa trong mạng bị xâm phạm trong hơn bốn năm.

Phương thức hoạt động của Weaver Ant

Các phát hiện cho thấy toàn bộ chiến dịch chỉ dựa vào web shell để truy cập liên tục vào hệ thống của nạn nhân. Tác nhân đe dọa đã triển khai web shell tối giản trên các máy bị xâm phạm, thường chỉ bao gồm một dòng mã duy nhất.

Hai web shell chính được sử dụng trong hoạt động này là China Chopper được mã hóa và một web shell không có tham chiếu công khai nào, được Sygnia đặt tên là "INMemory".

Web shell INMemory rất nguy hiểm vì nó thực thi toàn bộ tải trọng độc hại trong bộ nhớ, không để lại dấu vết trên đĩa. Nó hoạt động song song với phiên bản web shell China Chopper, một công cụ nhẹ nhưng mạnh mẽ ban đầu được phát triển bởi các tác nhân đe dọa đến từ Trung Quốc.

Web shell này cung cấp các chức năng như quản lý tệp, thực thi lệnh và trích xuất dữ liệu trong khi có hiệu quả cao trong việc bỏ qua các cơ chế phát hiện tải trọng tự động. Tác nhân đe dọa đã sử dụng các từ khóa chung chung như "mật khẩu" và "khóa" làm tên tham số để ngụy trang các tải trọng độc hại.

Việc sử dụng web shell cho phép tin tặc thực thi mã từ xa và di chuyển ngang thông qua cái gọi là đường hầm web shell, một kỹ thuật sử dụng các máy chủ web bị xâm phạm làm nút proxy để di chuyển ngang trong mạng.

Điều này cho phép kẻ tấn công bỏ qua các biện pháp phòng thủ chu vi bằng cách định tuyến lệnh qua nhiều web shell và thực thi lệnh trên nhiều máy chủ.

Sau khi xác định được các web shell độc hại, các nhà điều tra đã xóa chúng khỏi các máy chủ bị xâm phạm.

Các tác nhân đe dọa đến từ Trung Quốc tích cực nhắm mục tiêu vào các công ty bằng web shell. Tác nhân đe dọa được gọi là Volt Typhoon hoặc Bronze Silhouette đã khai thác lỗ hổng zero-day trong phần mềm được nhiều nhà cung cấp dịch vụ Internet và công ty quản lý mạng máy tính sử dụng bằng cách chèn mã web shell và đánh cắp thông tin đăng nhập.

Trước đây, các cơ quan chính phủ Hoa Kỳ đã xác định tác nhân đe dọa Volt Typhoon là kẻ chiếm đoạt và ẩn núp trong nhiều bộ định tuyến của nước này trong nhiều năm.

Trong khi đó, một nhóm phần mềm tống tiền Ghost cũng đến từ Trung Quốc đã xâm phạm các tổ chức sử dụng phần mềm và phiên bản chương trình cơ sở lỗi thời.

Ghost đã xâm nhập bừa bãi vào các trường học, bệnh viện, cơ sở hạ tầng quan trọng, tổ chức tôn giáo, công ty sản xuất, nhiều doanh nghiệp vừa và nhỏ bằng cách chèn web shell giúp phân phối các phần mềm độc hại.