Nguy hiểm: Chiến dịch gián điệp mạng Ashen Lepus
Nhóm đe dọa Ashen Lepus, còn được theo dõi với tên gọi WIRTE, đã triển khai một chiến dịch gián điệp mạng mới nhằm vào các thực thể chính phủ và ngoại giao trên khắp Trung Đông. Hoạt động này cho thấy sự tập trung của nhóm vào việc thu thập thông tin tình báo dai dẳng.
Kỹ thuật Lừa Đảo và Xâm Nhập Ban Đầu
Ashen Lepus sử dụng các mồi nhử ngoại giao bằng tiếng Ả Rập rất thực tế, đề cập đến chính trị khu vực và các cuộc đàm phán an ninh. Mục tiêu là lừa các quan chức mở các tài liệu chứa mã độc.
Khi mục tiêu tương tác với mồi nhử, một chuỗi tấn công đa giai đoạn sẽ âm thầm triển khai bộ mã độc tùy chỉnh mới mang tên AshTag. Mã độc này được thiết kế để đánh cắp các tài liệu ngoại giao nhạy cảm và duy trì quyền truy cập lâu dài vào các hệ thống bị xâm nhập.
Các tài liệu ban đầu thường là tệp PDF trông có vẻ lành tính. Các tệp này hướng nạn nhân tải xuống các kho lưu trữ RAR chứa một tệp thực thi tài liệu giả mạo, một trình tải độc hại và một tệp PDF mồi nhử bổ sung.
Khi nạn nhân chạy tệp tưởng chừng là tài liệu, Windows sẽ thực hiện DLL sideloading. Một DLL độc hại ẩn sẽ được tải, bắt đầu quá trình lây nhiễm. Đồng thời, một tệp PDF vô hại sẽ mở ra trên màn hình để giảm sự nghi ngờ của người dùng.
Bộ Mã Độc AshTag và Kiến Trúc Mô-đun
Các nhà nghiên cứu bảo mật của Palo Alto Networks Unit 42 đã xác định bộ công cụ AshTag mới này trong quá trình theo dõi hoạt động kéo dài của Ashen Lepus. Họ nhận thấy những thay đổi rõ rệt trong cả mã độc và hạ tầng điều khiển & kiểm soát (C2) của nhóm. Bạn có thể tham khảo báo cáo chi tiết tại Unit 42 Blog.
Cốt lõi của chiến dịch gián điệp mạng này là một backdoor .NET mô-đun, AshTag, ngụy trang thành tiện ích VisualServer. Nó hỗ trợ các chức năng như lấy cắp tệp (file exfiltration), thực thi lệnh (command execution) và tải các công cụ bổ sung vào bộ nhớ (in-memory loading).
Cấu trúc Ba Giai Đoạn của AshTag
Chuỗi lây nhiễm di chuyển từ một trình tải ban đầu được đặt tên là AshenLoader, đến một trình dàn dựng thứ cấp gọi là AshenStager, và cuối cùng là một thành phần điều phối, AshenOrchestrator, kiểm soát tất cả các mô-đun sau này.
- AshenLoader: Gửi dữ liệu máy chủ cơ bản đến C2 và tìm nạp AshenStager từ nội dung HTML ẩn giữa các thẻ
<headerp>tùy chỉnh. - AshenStager: Yêu cầu một trang khác và trích xuất payload được mã hóa Base64 ẩn bên trong các thẻ
<article>.
Logic phân tích cú pháp (parsing logic) để trích xuất payload từ HTML có thể được minh họa theo cấu trúc:
// Pseudocode for AshenStager parsingfunction get_payload_from_html(html_content): // Find <article> tags article_content = extract_content_between_tags(html_content, "<article>", "</article>") if article_content: // Decode Base64 payload decoded_payload = base64_decode(article_content) return decoded_payload return nullAshenOrchestrator và Cấu hình Mô-đun
AshenOrchestrator nhận một cấu hình JSON được mã hóa Base64. Cấu hình này bao gồm các miền C2, URL mô-đun, khóa mã hóa và giá trị jitter mn và mx để ngẫu nhiên hóa thời gian gửi tín hiệu (beacon timing).
Nó đầu tiên tạo một khóa AES từ các tham số tg và au, sau đó giải mã một khóa XOR được sử dụng để giải mã payload nhúng tiếp theo.
Payload đó là một đối tượng JSON được mã hóa Base64 khác, định nghĩa tên lớp của mô-đun (ví dụ: SN cho lấy dấu vân tay hệ thống, SCT cho chụp màn hình) và phương pháp tải mna. Phương pháp mna có thể chỉ đạo trình điều phối lưu mô-đun vào đĩa, thực thi nó như một assembly .NET, tải lên nội dung bổ sung hoặc tiêm mã vào bộ nhớ.
Mô-đun SN: Thu Thập Thông Tin Hệ Thống
Một mô-đun được phục hồi, SN, thực hiện việc lập hồ sơ máy chủ thông qua các truy vấn WMI đơn giản. Nó gửi một ID nạn nhân duy nhất trở lại cho những kẻ tấn công, giúp Ashen Lepus tập trung vào các hệ thống ngoại giao có giá trị cao.
Logic thu thập thông tin cơ bản của mô-đun SN có thể được minh họa:
// Pseudocode for SN module (System Fingerprinting)function collect_host_profile(): victim_id = generate_unique_id() os_info = execute_wmi_query("SELECT * FROM Win32_OperatingSystem") cpu_info = execute_wmi_query("SELECT * FROM Win32_Processor") network_info = execute_wmi_query("SELECT * FROM Win32_NetworkAdapterConfiguration") // ... collect other relevant system data profile_data = { "victim_id": victim_id, "os": os_info, "cpu": cpu_info, "network": network_info, // ... } return profile_datafunction send_profile_to_c2(profile_data): encrypted_data = encrypt(profile_data, AES_KEY) send_data_via_c2(encrypted_data)Thay Đổi Hạ Tầng C2 và Kỹ Thuật Lẩn Tránh
Trong chiến dịch gián điệp mạng này, nhóm đã thay đổi cách thức hoạt động của hạ tầng C2. Thay vì sử dụng các miền thuộc sở hữu của kẻ tấn công, nhóm hiện ẩn mình sau các subdomain kiểu API của các trang web trông có vẻ hợp pháp. Điều này giúp lưu lượng truy cập của chúng hòa lẫn vào hoạt động web thông thường.
Các miền C2 đã được quan sát bao gồm:
api.healthylifefeed[.]comauth.onlinefieldtech[.]com
Đồng thời, các payload được thực thi trong bộ nhớ (in-memory execution) để lại ít dấu vết pháp y hơn trên đĩa. Sự kết hợp giữa các lớp trình tải, payload ẩn trong HTML và các thành phần .NET mô-đun cho thấy Ashen Lepus đang cải thiện kỹ năng tấn công của mình. Mã độc của chúng vẫn đơn giản, linh hoạt và được điều chỉnh để thực hiện chiến dịch gián điệp mạng ngoại giao một cách lén lút.
