Tin tặc APT41 sử dụng ShadowPad, Cobalt Strike trong cuộc tấn công mạng vào Viện Đài Loan
Tổ chức giấu tên này đã bị nhắm mục tiêu từ giữa tháng 7/2023 để cung cấp nhiều loại backdoor và công cụ sau khi xâm phạm như ShadowPad và Cobalt Strike. Tổ chức này được cho là do một nhóm tin tặc khét tiếng theo dõi với tên gọi APT41 thực hiện.
Các nhà nghiên cứu bảo mật cho rằng, phần mềm độc hại ShadowPad được sử dụng trong chiến dịch này đã khai thác phiên bản lỗi thời dễ bị tấn công của tệp nhị phân Microsoft Office IME làm trình tải trong giai đoạn thứ hai tùy chỉnh và khởi chạy tải trọng. Nhóm tin tặc đã xâm phạm ba máy chủ trong môi trường mục tiêu và có thể đánh cắp một số tài liệu từ mạng.
Cisco Talos cho biết họ đã phát hiện ra hoạt động này vào tháng 8/2023 sau khi phát hiện ra lệnh PowerShell bất thường kết nối với một địa chỉ IP để tải xuống và thực thi các tập lệnh PowerShell trong môi trường bị xâm phạm.
Không rõ vectơ truy cập ban đầu chính xác được sử dụng trong cuộc tấn công, mặc dù nó liên quan đến việc sử dụng một web shell để duy trì quyền truy cập liên tục và thả các tải trọng bổ sung như ShadowPad và Cobalt Strike, trong đó tải trọng sau được phân phối bằng trình tải Cobalt Strike dựa trên Go có tên là CS-Avoid-Killing.
Ngoài ra, nhóm tin tặc đang chạy các lệnh PowerShell để khởi chạy các tập lệnh chạy ShadowPad trong bộ nhớ và lấy phần mềm độc hại Cobalt Strike từ máy chủ chỉ huy và kiểm soát (C2) bị xâm phạm. Trình tải ShadowPad dựa trên DLL, còn được gọi là ScatterBee, được thực thi thông qua tải phụ DLL.
Một số hoạt động khác của cuộc tấn công bao gồm sử dụng Mimikatz để trích xuất mật khẩu và thực thi một số lệnh để thu thập thông tin về tài khoản người dùng, cấu trúc thư mục và cấu hình mạng.
Trước đó, Chính phủ Đức cho rằng, các tác nhân nhà nước Trung Quốc cũng đứng sau một cuộc tấn công mạng năm 2021 vào cơ quan lập bản đồ quốc gia là Cục Bản đồ và Đo đạc Liên bang (BKG) vì mục đích gián điệp.
Đáp lại các cáo buộc, đại sứ quán Trung Quốc tại Berlin cho biết cáo buộc này là vô căn cứ và kêu gọi Đức "chấm dứt hành vi sử dụng các vấn đề an ninh mạng để bôi nhọ Trung Quốc về mặt chính trị và trên phương tiện truyền thông".
Bá Phúc