Một nhóm tấn công nâng cao dai dẳng (APT), được theo dõi với mã định danh **UAT-9244**, đã và đang tích cực nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông ở khu vực Nam Mỹ kể từ năm **2024**. Nhóm này triển khai ba biến thể mã độc mới để đạt được quyền truy cập sâu vào hạ tầng mạng trọng yếu. Hoạt động này đại diện cho một mối đe dọa mạng đáng kể đối với ngành viễn thông.

UAT-9244 không chỉ tấn công các điểm cuối dựa trên Windows và Linux mà còn nhắm vào các thiết bị mạng biên (network edge devices). Đây là các phần cứng nhúng mà nhà cung cấp viễn thông phụ thuộc vào để định tuyến và quản lý thông tin liên lạc. Điều khiến chiến dịch này trở nên nổi bật là cách thức tấn công có phương pháp, với một bộ công cụ được xây dựng tỉ mỉ để thỏa hiệp, duy trì quyền truy cập và mở rộng phạm vi kiểm soát.

Chiến Dịch Tấn Công và Xâm Nhập Mạng Của UAT-9244

Mục Tiêu và Phạm Vi Hoạt Động

Chiến dịch của UAT-9244 tập trung vào các nhà cung cấp viễn thông tại Nam Mỹ. Mục tiêu bao gồm cả hệ thống máy chủ và thiết bị mạng chuyên dụng. Việc xâm nhập mạng vào hạ tầng viễn thông cho phép kẻ tấn công kiểm soát lưu lượng truyền thông và thu thập thông tin tình báo nhạy cảm.

Phạm vi hoạt động của nhóm rất rộng, thể hiện qua việc phát hiện một chứng chỉ SSL chung liên kết với **18 địa chỉ IP** được sử dụng làm cơ sở hạ tầng Command-and-Control (C2) của UAT-9244. Điều này cho thấy một mạng lưới tấn công được tài trợ và tổ chức tốt.

Bộ Công Cụ Mã Độc Tiên Tiến

Kho vũ khí của UAT-9244 bao gồm ba công cụ mã độc, mỗi công cụ được thiết kế cho một vai trò khác nhau trong chuỗi tấn công:

• TernDoor: Đây là một backdoor dành cho Windows, đồng thời là một biến thể mới của mã độc CrowDoor đã được ghi nhận trước đây. TernDoor cung cấp khả năng điều khiển từ xa và thu thập dữ liệu hệ thống.
• PeerTime: Một backdoor dành cho Linux, sử dụng giao thức BitTorrent để liên lạc và thực thi các tác vụ trên hệ thống bị nhiễm. Cách tiếp cận này giúp lưu lượng độc hại hòa lẫn với hoạt động peer-to-peer thông thường trên mạng, gây khó khăn cho việc phát hiện.
• BruteEntry: Công cụ này biến các thiết bị biên bị thỏa hiệp thành Hộp Rơle Hoạt Động (Operational Relay Boxes – ORBs). Các ORBs này được chỉ đạo để thực hiện tấn công brute-force SSH, PostgreSQL và Apache Tomcat, liên tục mở rộng quyền truy cập của kẻ tấn công.

Liên Kết Với Các Nhóm Tấn Công Khác Và Chỉ Dẫn Attribution

Phân Tích Mức Độ Tương Đồng

Các nhà nghiên cứu của Cisco Talos đã xác định **UAT-9244** và đánh giá với độ tin cậy cao rằng nhóm này có sự chồng chéo đáng kể với **FamousSparrow** và **Tropic Trooper**. Kết luận này dựa trên việc chia sẻ công cụ, chiến thuật tương đồng và mục tiêu nạn nhân giống nhau giữa ba nhóm.

Ví dụ, TernDoor có nguồn gốc từ CrowDoor, vốn là biến thể của SparrowDoor – một backdoor từ lâu đã được gán cho FamousSparrow. Để biết thêm chi tiết về phân tích này, bạn có thể tham khảo báo cáo của Cisco Talos tại Cisco Talos Intelligence Blog.

Chỉ Dấu Ngôn Ngữ và Chiến Lược Tấn Công

Ngoài ra, mã nhị phân của PeerTime chứa các chuỗi debug được viết bằng tiếng Trung giản thể. Đây là một chỉ dấu ngôn ngữ mạnh mẽ, cho thấy mối liên hệ trực tiếp của chiến dịch với các tác nhân tấn công nói tiếng Trung. Mặc dù UAT-9244 và Salt Typhoon cùng nhắm vào các nhà cung cấp viễn thông, Talos chưa xác nhận mối liên hệ trực tiếp giữa hai nhóm này.

Tuy nhiên, mô hình nhiều tác nhân có mối liên hệ tương tự tập trung vào hạ tầng viễn thông nhấn mạnh giá trị của các mạng này đối với hoạt động thu thập thông tin tình báo.

Phân Tích Kỹ Thuật Mã Độc TernDoor

Cơ Chế Lây Nhiễm và Thực Thi Ban Đầu

Việc triển khai TernDoor bắt đầu bằng kỹ thuật **DLL side-loading**. Một tệp thực thi Windows hợp lệ, **wsprint.exe**, được sử dụng để tải một tệp độc hại có tên **BugSplatRc64.dll**. Tệp loader này đọc một tệp đã mã hóa từ ổ đĩa, sau đó giải mã nó bằng khóa cứng **qwiozpVngruhg123**.

Mã shellcode thu được sau đó được thực thi hoàn toàn trong bộ nhớ. Việc chạy payload trong bộ nhớ thay vì ghi vào ổ đĩa giúp kẻ tấn công vượt qua các phương pháp phát hiện dựa trên tệp mà các công cụ bảo mật truyền thống thường dựa vào. Đây là một thách thức đáng kể đối với an ninh mạng truyền thống.

Triển Khai và Ẩn Giấu Hoạt Động

Khi đã hoạt động, shellcode sẽ giải nén và khởi chạy TernDoor. Nó được tiêm vào tiến trình Windows hợp lệ **msiexec.exe**. Đây là một lựa chọn có chủ ý để che giấu sự hiện diện của mã độc trong các hành vi hệ thống thông thường.

Implant này sau đó giải mã cấu hình nội bộ của nó, chứa địa chỉ IP C2, số lần thử lại kết nối, số cổng và một chuỗi User-Agent tùy chỉnh cho giao tiếp đi ra. Từ thời điểm này, TernDoor có thể thực thi các lệnh từ xa, đọc và ghi tệp, thu thập chi tiết hệ thống và liên lạc ngược lại với kẻ điều khiển.

Cơ Chế Duy Trì Quyền Truy Cập (Persistence)

Để tồn tại qua các lần khởi động lại, TernDoor tạo một tác vụ theo lịch trình có tên **“WSPrint”**. Mã độc sau đó sửa đổi các khóa registry liên quan đến tác vụ này để ẩn nó khỏi các chế độ xem hệ thống tiêu chuẩn.

Nó cũng đặt một khóa Registry Run để khởi động lại mã độc mỗi khi người dùng đăng nhập, duy trì hai đường dẫn duy trì quyền truy cập riêng biệt cùng lúc. Ngoài ra, TernDoor còn thả một trình điều khiển Windows có tên **WSPrint.sys** và kích hoạt nó như một dịch vụ hệ thống.

Trình điều khiển này tạo một thiết bị ảo mà TernDoor sử dụng để tạm dừng, tiếp tục hoặc chấm dứt các tiến trình. Đây là một phương pháp trực tiếp để vô hiệu hóa các công cụ bảo mật đang hoạt động trên cùng một máy. Các biện pháp này cho thấy mức độ tinh vi của mối đe dọa mạng này.

Chỉ Dẫn Bảo Vệ và Phát Hiện Mối Đe Dọa Từ UAT-9244

Để bảo vệ hạ tầng viễn thông khỏi UAT-9244, các nhóm bảo mật cần thực hiện các biện pháp chủ động sau:

Biện Pháp Phòng Ngừa Kỹ Thuật

• Kiểm tra Tác vụ Theo lịch trình và Khóa Registry Run: Thường xuyên kiểm tra các tác vụ theo lịch trình và các khóa Registry Run để tìm kiếm các mục nhập trái phép.
• Giám sát Sự kiện DLL Side-loading: Theo dõi các sự kiện DLL side-loading trong các thư mục ứng dụng. Triển khai các giải pháp EDR (Endpoint Detection and Response) để phát hiện hành vi này.
• Hạn chế Thực thi Trình điều khiển Kernel Không được Ký: Hạn chế hoặc chặn việc thực thi các trình điều khiển kernel không được ký số.

Chỉ Số Thỏa Hiệp (IOCs) và Quy Tắc Phát Hiện

Các tổ chức nên sử dụng các chỉ số thỏa hiệp sau để phát hiện và ngăn chặn UAT-9244:

• Khóa giải mã TernDoor:qwiozpVngruhg123
• Tên tệp độc hại:BugSplatRc64.dll, WSPrint.sys
• Tên tệp hợp lệ được lợi dụng:wsprint.exe, msiexec.exe
• Tên tác vụ theo lịch trình:WSPrint
• Chặn các dải IP C2 đã biết của UAT-9244: Triển khai các quy tắc tường lửa để ngăn chặn giao tiếp với các máy chủ C2 được xác định.
• Chữ ký ClamAV:
  • Win.Malware.TernDoor
  • Unix.Malware.BruteEntry
  • Unix.Malware.PeerTime
• Quy tắc SNORT: Sử dụng quy tắc SNORT SID **65551** để phát hiện lưu lượng độc hại.

Việc kết hợp các biện pháp phòng ngừa và phát hiện này là cực kỳ quan trọng để bảo vệ hạ tầng khỏi mối đe dọa mạng dai dẳng và tinh vi như UAT-9244.