Tác nhân đe dọa APT36, còn được biết đến với tên gọi Transparent Tribe, đã phát động một chiến dịch gián điệp mạng tinh vi nhằm vào các cơ quan chính phủ, sử dụng một biến thể mã độc ELF dựa trên Python mới. Chiến dịch này đánh dấu sự leo thang đáng kể về năng lực của nhóm, cho thấy sự trưởng thành về kỹ thuật và khả năng thích ứng của chúng với các hệ điều hành dựa trên Linux. Đây là một tấn công mạng có chủ đích và được lên kế hoạch kỹ lưỡng, đặc biệt nhắm mục tiêu vào các hệ thống quan trọng.

Chiến dịch mới này tập trung vào các email spear-phishing chứa các tệp shortcut Linux được vũ khí hóa (weaponized Linux shortcut files). Mục đích là lừa đảo các nhân viên của cơ quan chính phủ mở chúng. Khi người nhận giải nén và mở các tệp này, mã độc sẽ tự động tải xuống và thực thi các thành phần độc hại trong nền, đồng thời hiển thị nội dung có vẻ vô hại cho người dùng. Cách tiếp cận hai lớp này cho phép kẻ tấn công duy trì sự bí mật trong khi thiết lập quyền truy cập liên tục vào cơ sở hạ tầng quan trọng.

Sự Chuyển dịch Chiến lược của APT36 và Mã độc ELF Python-based

Chiến dịch Spear-Phishing Mục tiêu

Chiến dịch bắt đầu với các email spear-phishing được thiết kế để dụ dỗ người dùng tải xuống và mở các tệp đính kèm độc hại. Các tệp này thường được ngụy trang dưới dạng tài liệu hợp pháp, nhưng thực chất chứa các tệp shortcut Linux độc hại. Việc sử dụng các tệp shortcut ngụy trang giúp mã độc né tránh các biện pháp phát hiện truyền thống, do chúng không phải là binary thực thi trực tiếp.

Điều này cho phép kẻ tấn công duy trì sự linh hoạt trong việc triển khai payload, đồng thời giảm thiểu dấu vết pháp y.

Cơ chế Lây nhiễm và Hoạt động Ẩn mình

Chuỗi lây nhiễm khởi đầu bằng một tệp lưu trữ lừa đảo chứa shortcut độc hại. Khi được thực thi, shortcut này kích hoạt một quy trình phân phối payload nhiều giai đoạn. Đầu tiên, một tài liệu PDF mồi nhử sẽ được tải xuống và hiển thị để đánh lạc hướng người dùng. Đồng thời, payload mã độc ELF thực sự sẽ được tải về và cài đặt từ các máy chủ do kẻ tấn công kiểm soát.

Cơ chế lây nhiễm của mã độc dựa vào các tệp .desktop làm vector trung gian. Các tệp .desktop, thường dùng để khởi chạy ứng dụng hoặc tài liệu trên môi trường desktop Linux, có thể chứa các lệnh shell nhúng. Điều này khiến chúng trông có vẻ hợp pháp đối với người dùng Linux trong khi vẫn thực thi các lệnh độc hại.

Để hiểu rõ hơn về định dạng tệp .desktop, bạn có thể tham khảo thêm tại ArchWiki: Desktop entries. Kỹ thuật này cho phép kẻ tấn công che giấu ý định độc hại của mình, giảm thiểu khả năng bị phát hiện bởi các hệ thống an ninh mạng thông thường.

Sự Thay đổi Chiến lược sang Nền tảng Linux

Sự chuyển hướng của APT36 sang nhắm mục tiêu vào Linux thể hiện một sự phát triển chiến lược trong học thuyết hoạt động của chúng. Trong quá khứ, nhóm này chủ yếu tập trung vào các tấn công mạng dựa trên Windows. Tuy nhiên, chiến dịch mới này tiết lộ cam kết của chúng trong việc nhắm mục tiêu vào hệ điều hành BOSS, một biến thể Linux được triển khai rộng rãi trong các cơ quan chính phủ.

Bằng cách điều chỉnh công cụ của mình để khai thác nhiều nền tảng, tác nhân đe dọa đã mở rộng đáng kể bề mặt tấn công và hiệu quả hoạt động của chúng, tạo ra một mối đe dọa mạng nghiêm trọng hơn đối với các hệ thống đa dạng.

Phân tích Kỹ thuật Mã độc ELF và Chỉ số IOC

Khả năng của Mã độc ELF

Phân tích mã độc được trích xuất cho thấy nó là một công cụ truy cập từ xa (RAT) giàu tính năng, có khả năng thực thi các lệnh shell tùy ý, thiết lập giao tiếp Command-and-Control (C2), chụp ảnh màn hình và đánh cắp dữ liệu. Điều này cho phép kẻ tấn công duy trì toàn quyền kiểm soát hệ thống bị xâm nhập và thực hiện các hoạt động gián điệp.

Cụ thể, các chức năng bao gồm:

• Thực thi lệnh shell: Cho phép kẻ tấn công chạy bất kỳ lệnh nào trên hệ thống bị nhiễm.
• Giao tiếp Command-and-Control: Thiết lập kênh liên lạc bí mật với máy chủ C2 để nhận lệnh và gửi dữ liệu.
• Chụp ảnh màn hình: Thu thập thông tin trực quan từ phiên làm việc của người dùng.
• Đánh cắp dữ liệu: Trích xuất các tệp nhạy cảm và thông tin quan trọng từ hệ thống.

Để thiết lập quyền truy cập liên tục, mã độc sử dụng các dịch vụ cấp người dùng systemd. Điều này đảm bảo rằng nó tiếp tục chạy ngay cả sau khi hệ thống khởi động lại hoặc thay đổi phiên người dùng, duy trì sự tồn tại dai dẳng trên hệ thống bị nhiễm. Đây là một kỹ thuật phổ biến để thiết lập persistence trên các hệ thống Linux.

Hạ tầng Command-and-Control (C2) và IOC

Hạ tầng của chiến dịch sử dụng các tên miền mới đăng ký và các máy chủ bị xâm nhập đặt tại nhiều quốc gia. Các nhà nghiên cứu bảo mật tại Cyfirma đã xác định các chỉ số thỏa hiệp (IOC) sau:

• Tên miền độc hại:lionsdenim[.]xyz
• Địa chỉ IP liên quan:185.235.137.90 (Frankfurt)

Tên miền độc hại lionsdenim[.]xyz được đăng ký chỉ 22 ngày trước khi chiến dịch được phát hiện, kết hợp với địa chỉ IP này, tạo điều kiện thuận lợi cho việc phân phối payload. Đây là những thông tin quan trọng để các tổ chức có thể chủ động chặn đứng mối đe dọa mạng này.

Bạn có thể tham khảo báo cáo chi tiết từ Cyfirma về chiến dịch này tại APT36 Python-based ELF Malware Targeting Government Entities.

Biện pháp Giảm thiểu và Nâng cao An ninh Mạng

Khuyến nghị Bảo vệ Hệ thống

Các cơ quan chính phủ và tổ chức có thể là mục tiêu của mối đe dọa mạng này nên thực hiện ngay các biện pháp giảm thiểu để bảo vệ hệ thống của mình:

• Tăng cường bảo mật email: Triển khai các cổng bảo mật email nâng cao (email security gateways) để phát hiện và chặn các email spear-phishing độc hại trước khi chúng đến hộp thư của người dùng. Huấn luyện người dùng về các mối nguy hiểm của phishing.
• Giải pháp Phát hiện và Phản hồi Điểm cuối (EDR): Sử dụng các giải pháp EDR để giám sát hoạt động của các điểm cuối, phát hiện các hành vi đáng ngờ và phản ứng kịp thời với các sự cố bảo mật.
• Chính sách ủy quyền ứng dụng nghiêm ngặt: Thực thi các chính sách kiểm soát ứng dụng để chỉ cho phép các chương trình được phê duyệt chạy trên hệ thống. Điều này giúp ngăn chặn việc thực thi các mã độc ELF hoặc các binary độc hại khác.
• Giám sát mạng liên tục: Triển khai các hệ thống phát hiện xâm nhập (IDS) và hệ thống quản lý thông tin và sự kiện bảo mật (SIEM) để giám sát lưu lượng mạng, phát hiện các kết nối C2 và các hoạt động bất thường.
• Cập nhật hệ điều hành và phần mềm: Đảm bảo tất cả hệ điều hành, đặc biệt là các hệ thống Linux như BOSS OS, và các ứng dụng đều được vá lỗi và cập nhật phiên bản mới nhất. Việc này giúp khắc phục các lỗ hổng đã biết mà kẻ tấn công có thể lợi dụng.

Việc kết hợp nhiều lớp bảo vệ sẽ giúp tăng cường tổng thể an ninh mạng và giảm thiểu rủi ro bị xâm nhập. Các biện pháp này cần được thực hiện một cách chủ động để đối phó với những mối đe dọa mạng ngày càng tinh vi và thích nghi.