Các nhóm tin tặc đã tăng cường các cuộc tấn công mạng nhắm vào các công ty hàng không vũ trụ và quốc phòng, sử dụng mã độc tùy chỉnh mới để đánh cắp thiết kế, lịch trình và email nội bộ. Chiến dịch này tập trung vào cả các nhà thầu chính và các nhà cung cấp nhỏ hơn, với mục tiêu lập bản đồ chuỗi sản xuất và phơi bày các điểm yếu trong ngành công nghiệp quốc phòng.

Các công cụ được sử dụng trong chiến dịch này được đánh giá là đơn giản nhưng được triển khai một cách cẩn trọng và có kế hoạch kỹ lưỡng. Đây là một mối đe dọa mạng đáng kể đối với các tổ chức liên quan đến quốc phòng.

Tổng quan về Chiến dịch Mối đe dọa Mạng

Mục tiêu và Phạm vi Tấn công

Chiến dịch này nhắm mục tiêu cụ thể vào các công ty hàng không vũ trụ và quốc phòng. Mục tiêu chính là thu thập thông tin tình báo về chuỗi cung ứng, thiết kế sản phẩm và hoạt động nội bộ. Điều này giúp kẻ tấn công hiểu rõ hơn về khả năng và điểm yếu của ngành công nghiệp mục tiêu.

Các đối tượng bị nhắm mục tiêu bao gồm cả các nhà thầu lớn và các nhà cung cấp quy mô nhỏ hơn. Việc này cho thấy chiến lược toàn diện nhằm thu thập thông tin từ mọi cấp độ của chuỗi sản xuất quốc phòng.

Kỹ thuật Khai thác Ban đầu

Mã độc lần đầu tiên xuất hiện vào cuối năm 2024 thông qua các đợt tấn công spear-phishing. Các email lừa đảo này được gửi đến các kỹ sư và quản lý dự án làm việc trong lĩnh vực điện tử hàng không, hệ thống dẫn đường và liên kết vệ tinh.

Các mồi nhử bao gồm các lời mời làm việc giả mạo, thư mời hội nghị và cập nhật hợp đồng. Kèm theo là các tài liệu đính kèm khai thác lỗ hổng phần mềm văn phòng đã lỗi thời trên các máy chủ Windows. Việc mở tệp tin này sẽ âm thầm thả một trình tải (loader) nhỏ, chuẩn bị cho tải trọng chính.

Để biết thêm về các kỹ thuật lừa đảo qua mạng, bạn có thể tham khảo các hướng dẫn từ các cơ quan an ninh mạng uy tín như CISA: CISA Phishing Guidance.

Phân tích Kỹ thuật Mã độc

Chuỗi Lây nhiễm và Cơ chế Hoạt động

Các nhà phân tích bảo mật tại Intrinsec đã xác định được mã độc sau khi phát hiện lưu lượng truy cập đáng ngờ từ một văn phòng từ xa của nhà tích hợp quốc phòng đến các máy chủ điều khiển hiếm gặp. Đây là dấu hiệu của một cuộc xâm nhập mạng tinh vi.

Chuỗi lây nhiễm bắt đầu với một trình tải ban đầu, thường là một DLL nhỏ, chạy hoàn toàn trong bộ nhớ. Trình tải này sau đó tải xuống một script giai đoạn hai từ một URL được mã hóa cứng. Script giai đoạn hai này có nhiệm vụ tiêm tải trọng cuối cùng vào một tiến trình đáng tin cậy, như explorer.exe.

Việc tiêm vào các tiến trình hợp pháp giúp mã độc hòa lẫn với hoạt động người dùng bình thường, làm giảm khả năng bị phát hiện. Cơ chế này thể hiện sự cẩn trọng của các nhóm tấn công nhằm duy trì quyền truy cập mà không gây chú ý.

Tính năng và Mục đích của Mã độc

Phân tích kỹ thuật chi tiết của Intrinsec cho thấy các kẻ tấn công đã tùy chỉnh từng tải trọng cho vai trò cụ thể của nạn nhân. Các mô-đun tùy chỉnh được thêm vào bao gồm:

• Thu thập email (email scraping)
• Đánh cắp tài liệu (document theft)
• Thu giữ thông tin đăng nhập (credential capture)

Tải trọng sử dụng một vòng lặp lệnh nhỏ gọn để duy trì tính linh hoạt trong hoạt động. Một quy trình điển hình, như được thấy trong các bản ghi bộ nhớ, bao gồm:

loop:
    sleep
    check for new task
    if task available:
        execute task
    goto loop

Logic đơn giản này cho phép người điều hành chuyển đổi giữa việc đánh cắp dữ liệu im lặng và kiểm soát bàn phím trực tiếp. Mỗi giai đoạn được xây dựng để giảm thiểu tiếng ồn trên máy chủ, làm cho mối đe dọa mạng này trở nên khó bị phát hiện.

Cơ chế Duy trì Truy cập và Né tránh Phát hiện

Mặc dù có thiết kế rõ ràng, mã độc tránh các kỹ thuật duy trì truy cập ồn ào. Thay vào đó, nó dựa vào các tác vụ đã lên lịch (scheduled tasks) và các công cụ cập nhật bị chiếm quyền kiểm soát để hoạt động trở lại sau khi khởi động lại hệ thống. Điều này giúp nó khó bị phát hiện hơn so với các phương pháp truyền thống.

Khả năng ẩn mình và duy trì quyền truy cập một cách kín đáo là một đặc điểm quan trọng của chiến dịch này. Nó cho phép các kẻ tấn công thu thập dữ liệu trong thời gian dài mà không bị phát hiện bởi các giải pháp an ninh thông thường. Đây là một mối đe dọa mạng cần được chú ý đặc biệt.

Tác động và Ý nghĩa của Việc Xâm nhập Mạng

Chiến dịch tấn công này đã tác động đến các phòng thí nghiệm nghiên cứu, trường bắn thử nghiệm và các công ty logistics hỗ trợ máy bay, máy bay không người lái và hệ thống tên lửa. Các dữ liệu bị đánh cắp có thể tiết lộ tình trạng thiếu linh kiện, chậm trễ giao hàng và lỗi phần mềm.

Những thông tin này cung cấp một cái nhìn rõ ràng hơn về tình hình sẵn sàng chiến đấu của các hệ thống quốc phòng mục tiêu. Việc rò rỉ dữ liệu nhạy cảm như vậy có thể gây ra những hậu quả nghiêm trọng về an ninh và chiến lược.

Đây là một ví dụ điển hình về tầm quan trọng của việc duy trì các bản vá bảo mật và áp dụng các biện pháp an ninh mạng mạnh mẽ để đối phó với các tấn công mạng ngày càng tinh vi.