Một chiến dịch gián điệp mạng tinh vi đã nhắm mục tiêu vào các tổ chức chính phủ tại Đông Nam Á và Nhật Bản. Chiến dịch này được cho là do một nhóm đe dọa dai dẳng nâng cao (APT) mới có tên là LongNosedGoblin thực hiện. Nhóm APT này đã hoạt động ít nhất từ tháng 9 năm 2023, nổi bật với việc sử dụng bộ công cụ đa dạng gồm các họ mã độc C#/.NET tùy chỉnh.

Các hoạt động của LongNosedGoblin tập trung chủ yếu vào thu thập thông tin tình báo, sử dụng các kỹ thuật lén lút để xâm nhập vào các mạng nhạy cảm và duy trì quyền truy cập lâu dài mà không bị phát hiện.

Kỹ Thuật Xâm Nhập và Triển Khai Mã Độc

Lạm Dụng Windows Group Policy

Một trong những chiến thuật đáng chú ý nhất của nhóm APT này là lạm dụng Windows Group Policy để di chuyển ngang và triển khai mã độc. Bằng cách thỏa hiệp cơ sở hạ tầng Active Directory, những kẻ tấn công phân phối các payload độc hại trên các máy trong mạng, qua đó hiệu quả bỏ qua các biện pháp phòng thủ chu vi truyền thống.

Phương pháp này cho phép chúng phát tán các công cụ như NosyHistorian. Mã độc NosyHistorian thu thập lịch sử trình duyệt để xác định các mục tiêu có giá trị cao, từ đó khai thác thêm các tài sản quan trọng.

Các nhà phân tích của ESET Research đã phát hiện mã độc này vào đầu năm 2024 trong mạng lưới chính phủ của một quốc gia Đông Nam Á. Tại đây, nhiều máy đã bị thỏa hiệp đồng thời thông qua các bản cập nhật Group Policy. Thông tin chi tiết về nghiên cứu có thể được tìm thấy tại WeLiveSecurity.

Chiến Thuật Ngụy Trang và Duy Trì Truy Cập

Các cuộc điều tra đã tiết lộ rằng những kẻ tấn công ngụy trang mã độc của chúng thành các tệp chính sách hợp pháp, ví dụ như History.ini hoặc Registry.pol. Việc này giúp chúng hòa lẫn vào các thư mục bộ nhớ cache của Group Policy.

Chiến thuật ngụy trang chiến lược này nhấn mạnh sự tập trung của nhóm APT vào việc né tránh phát hiện và duy trì quyền truy cập dai dẳng trong các môi trường bị xâm nhập mạng.

Phân Tích Mã Độc NosyDoor

Backdoor chính của nhóm, NosyDoor, minh họa sự phụ thuộc của chúng vào các kỹ thuật living-off-the-land (LotL) và cơ sở hạ tầng chỉ huy và kiểm soát (C2) dựa trên đám mây. Chuỗi thực thi của NosyDoor được thiết kế phức tạp nhằm né tránh việc bị phát hiện bởi các sản phẩm an ninh mạng tiêu chuẩn.

Chuỗi Thực Thi Ba Giai Đoạn

Quá trình lây nhiễm bắt đầu với một thành phần dropper giải mã các payload được nhúng bằng tiêu chuẩn mã hóa dữ liệu (DES) với khóa UevAppMo.

DES Key: UevAppMo

Dropper này sử dụng các cơ chế bảo vệ thực thi để đảm bảo mã độc chỉ được kích hoạt trên các máy nạn nhân cụ thể. Sau khi được xác thực, nó thiết lập cơ chế duy trì bằng cách tạo một tác vụ theo lịch trình (scheduled task). Tác vụ này thực thi một binary hợp pháp của Windows, UevAppMonitor.exe, mà mã độc đã sao chép từ thư mục System32 sang thư mục .NET framework.

Persistence mechanism:
  Scheduled Task -> UevAppMonitor.exe (copied from System32 to .NET framework directory)

Kỹ Thuật Né Tránh Phát Hiện Nâng Cao

Cốt lõi của chiến lược né tránh nằm ở kỹ thuật AppDomainManager injection. Những kẻ tấn công sửa đổi cấu hình của file thực thi hợp pháp để tải một DLL độc hại. File cấu hình này chỉ đạo ứng dụng khởi tạo một domain tùy chỉnh từ SharedReg.dll.

DLL này thực hiện việc bỏ qua Antimalware Scan Interface (AMSI) và giải mã payload cuối cùng của NosyDoor.

Evasion steps:
  1. Modify legitimate executable's config
  2. Load malicious DLL (e.g., SharedReg.dll)
  3. SharedReg.dll bypasses AMSI
  4. Decrypts final NosyDoor payload

Cơ Chế Điều Khiển và Ra Lệnh (C2)

Sau khi được giải mã, backdoor NosyDoor truy xuất cấu hình của nó và bắt đầu giao tiếp với Microsoft OneDrive. Nó sử dụng siêu dữ liệu được mã hóa RSA để nhận các lệnh được lưu trữ trong các tệp tác vụ. Điều này cho phép nhóm APT kiểm soát từ xa các hệ thống bị xâm nhập mạng.

Các Chỉ Số Thỏa Hiệp (IOCs)

Dựa trên phân tích chiến dịch này, các chỉ số thỏa hiệp (IOCs) sau đây đã được xác định:

• Tên mã độc:
  • NosyHistorian
  • NosyDoor
• Tên tệp được sử dụng để ngụy trang:
  • History.ini
  • Registry.pol
• Khóa DES được sử dụng bởi dropper:
  • UevAppMo
• Binary hợp pháp bị lạm dụng để duy trì quyền truy cập:
  • UevAppMonitor.exe
• DLL độc hại liên quan đến AppDomainManager injection:
  • SharedReg.dll
• Cơ chế C2: Microsoft OneDrive