Nam diễn viên tập trung vào hoạt động gián điệp liên kết với Trung Quốc được mệnh danh là Winnti đã đặt mục tiêu vào các tổ chức chính phủ ở Hồng Kông như một phần của chiến dịch đang diễn ra có tên là Chiến dịch CuckooBees.
Hoạt động ít nhất từ năm 2007, Winnti (hay còn gọi là APT41, Barium, Bronze Atlas và Wicked Panda) là cái tên được chỉ định cho một nhóm đe dọa mạng sung mãn thực hiện hoạt động gián điệp do nhà nước Trung Quốc tài trợ, chủ yếu nhằm mục đích đánh cắp tài sản trí tuệ từ các tổ chức ở các nền kinh tế phát triển.
Các chiến dịch của tác nhân đe dọa đã nhắm mục tiêu vào các lĩnh vực chăm sóc sức khỏe, viễn thông, công nghệ cao, truyền thông, nông nghiệp và giáo dục, với các chuỗi lây nhiễm chủ yếu dựa vào các email lừa đảo qua mạng có tệp đính kèm để ban đầu xâm nhập vào mạng của nạn nhân.
Đầu tháng 5 này, Cybereason đã tiết lộ các cuộc tấn công kéo dài do nhóm dàn dựng kể từ năm 2019 để hút bí mật công nghệ từ các công ty công nghệ và sản xuất chủ yếu nằm ở Đông Á, Tây Âu và Bắc Mỹ.
Các cuộc xâm nhập, được đặt dưới biệt danh Chiến dịch CuckooBees, được ước tính đã dẫn đến việc rò rỉ "hàng trăm gigabyte thông tin", công ty an ninh mạng Israel tiết lộ.
Hoạt động mới nhất, theo nhóm Symantec Threat Hunter, một phần của Broadcom Software, là sự tiếp nối của chiến dịch đánh cắp dữ liệu độc quyền, nhưng tập trung vào Hồng Kông.
Những kẻ tấn công vẫn hoạt động trên một số mạng bị xâm nhập trong suốt một năm, công ty cho biết trong một báo cáo được chia sẻ với The Hacker News, cho biết thêm các cuộc xâm nhập đã mở đường cho việc triển khai một bộ tải phần mềm độc hại có tên Spyder, lần đầu tiên được đưa ra ánh sáng vào tháng 3 năm 2021.
"[Spyder] đang được sử dụng cho các cuộc tấn công có chủ đích vào hệ thống lưu trữ thông tin, thu thập thông tin về các thiết bị bị hỏng, thực hiện các tải trọng tinh quái, phối hợp thực thi tập lệnh và giao tiếp máy chủ C&C," Nhóm nghiên cứu mối đe dọa của SonicWall Capture Labs lưu ý vào thời điểm đó.
Cũng được triển khai cùng với Spyder là các công cụ sau khai thác khác, chẳng hạn như Mimikatz và mô-đun zlib DLL trojan có khả năng nhận lệnh từ máy chủ từ xa hoặc tải tải trọng tùy ý.
Symantec nói rằng họ không quan sát thấy việc phân phối bất kỳ phần mềm độc hại giai đoạn cuối nào, mặc dù động cơ của chiến dịch bị nghi ngờ có liên quan đến việc thu thập thông tin tình báo dựa trên sự chồng chéo chiến thuật với các cuộc tấn công trước đó.
"Thực tế là chiến dịch này đã diễn ra trong vài năm, với các biến thể khác nhau của phần mềm độc hại Spyder Loader được triển khai trong thời gian đó, cho thấy các tác nhân đằng sau hoạt động này là những kẻ thù dai dẳng và tập trung, với khả năng thực hiện các hoạt động lén lút trên mạng nạn nhân trong một thời gian dài," Symantec nói.
Winnti nhắm mục tiêu vào các cơ quan chính phủ Sri Lanka
Như một dấu hiệu nữa cho thấy sự tinh tế của Winnti, Malwarebytes đã phát hiện ra một loạt các cuộc tấn công riêng biệt nhắm vào các tổ chức chính phủ ở Sri Lanka vào đầu tháng 8 với một cửa hậu mới được gọi là DBoxAgent tận dụng Dropbox để chỉ huy và kiểm soát.
"Theo hiểu biết của chúng tôi, Winnti (một APT do Trung Quốc hậu thuẫn) lần đầu tiên nhắm mục tiêu vào Sri Lanka", nhóm Malwarebytes Threat Intelligence cho biết.
Killchain cũng đáng chú ý khi sử dụng hình ảnh ISO được lưu trữ trên Google Drive có mục đích là một tài liệu chứa thông tin về hỗ trợ kinh tế, cho thấy nỗ lực của tác nhân đe dọa nhằm tận dụng cuộc khủng hoảng kinh tế đang diễn ra trong nước.
Khởi chạy tệp LNK có trong hình ảnh ISO dẫn đến việc thực thi cấy ghép DBoxAgent cho phép đối thủ chỉ huy máy từ xa và xuất dữ liệu nhạy cảm trở lại dịch vụ lưu trữ đám mây. Dropbox kể từ đó đã vô hiệu hóa tài khoản lừa đảo.
Cửa hậu tiếp tục hoạt động như một đường dẫn để loại bỏ các công cụ khai thác sẽ mở ra cánh cửa cho các cuộc tấn công và xâm nhập dữ liệu khác, bao gồm kích hoạt chuỗi lây nhiễm nhiều giai đoạn mà đỉnh điểm là việc sử dụng cửa hậu C++ tiên tiến có tên KEYPLUG, được Mandiant của Google ghi nhận vào tháng 3 năm 2022.
Sự phát triển này đánh dấu lần đầu tiên APT41 được quan sát thấy sử dụng Dropbox cho mục đích C&C, minh họa việc sử dụng ngày càng tăng của những kẻ tấn công các dịch vụ phần mềm dưới dạng dịch vụ và đám mây hợp pháp để lưu trữ nội dung độc hại.
"Winnti vẫn hoạt động và kho vũ khí của nó tiếp tục phát triển như một trong những nhóm tinh vi nhất hiện nay", công ty an ninh mạng cho biết. "Vị trí của Sri Lanka ở Nam Á là chiến lược đối với Trung Quốc vì nước này có khả năng tiếp cận mở với Ấn Độ Dương và gần với Ấn Độ".