Kẻ tấn công lợi dụng các dịch vụ điện toán đám mây hợp pháp để quản lý phần mềm độc hại và triển khai quy trình tấn công, gồm nhiều giai đoạn phức tạp để vượt kiểm duyệt của các hệ thống phát hiện xâm nhập. Qua đó, kẻ xấu có thể phát tán mã độc trên hệ thống mạng của nạn nhân, cài đặt công cụ điều khiển từ xa, chiếm quyền kiểm soát thiết bị, đánh cắp và xóa thông tin mật.
Chiến dịch nhắm vào các cơ quan Chính phủ và tổ chức công nghiệp nặng tại nhiều quốc gia và vùng lãnh thổ trong khu vực châu Á Thái Bình Dương (APAC), bao gồm Đài Loan, Malaysia, Trung Quốc, Nhật Bản, Thái Lan, Hồng Kông, Hàn Quốc, Singapore, Philippines và Việt Nam. Tin tặc sử dụng tệp nén chứa mã độc, ngụy trang thành tài liệu liên quan đến thuế, và phát tán thông qua chiến dịch lừa đảo trên email và các ứng dụng nhắn tin như WeChat và Telegram. Sau khi quy trình cài đặt mã độc nhiều lớp phức tạp được cài đặt trên hệ thống, tội phạm mạng sẽ tiến hành cài cắm backdoor mang tên FatalRAT.
Mặc dù chiến dịch này có một số điểm tương đồng với các cuộc tấn công trước đây sử dụng mã độc truy cập từ xa (RAT) mã nguồn mở như Gh0st RAT, SimayRAT, Zegost và FatalRAT. Các chuyên gia nhận thấy sự thay đổi đáng kể trong chiến thuật, kỹ thuật và phương thức hoạt động, tất cả đều được điều chỉnh để nhắm vào các tổ chức, cơ quan sử dụng tiếng Trung Quốc.
Cuộc tấn công được thực hiện thông qua mạng phân phối nội dung (CDN) myqcloud và dịch vụ lưu trữ Youdao Cloud Notes - hai nền tảng điện toán đám mây hợp pháp của Trung Quốc. Để tránh bị phát hiện và ngăn chặn, tin tặc đã sử dụng nhiều kỹ thuật như: liên tục thay đổi máy chủ điều khiển và tải trọng mã độc để giảm khả năng bị truy vết, lưu trữ mã độc trên các trang web hợp pháp nhằm “qua mặt” hệ thống bảo mật, khai thác lỗ hổng trong phần mềm hợp pháp để triển khai tấn công, lợi dụng chính các chức năng hợp pháp của phần mềm để kích hoạt mã độc, mã hóa tệp tin và lưu lượng mạng nhằm che giấu hoạt động bất thường.
Kaspersky đặt tên cho chiến dịch này là SalmonSlalom nhằm mô tả cách thức các tội phạm mạng khéo léo lẩn tránh các hệ thống phòng thủ mạng bằng những chiến thuật tinh vi và liên tục thay đổi phương thức, tương tự như cá hồi vượt thác, một hành trình đầy gian nan, đòi hỏi sức bền và sự khéo léo để vượt qua chướng ngại vật.
Ông Evgeny Goncharov, Trưởng nhóm Kaspersky ICS CERT, nhận định: “Tội phạm an ninh mạng sử dụng những kỹ thuật tương đối đơn giản nhưng vẫn đạt được mục tiêu xâm nhập vào hệ thống, ngay cả trong môi trường công nghệ vận hành (OT). Chiến dịch này là lời cảnh báo tới các tổ chức công nghiệp nặng tại khu vực APAC từ những tác nhân độc hại có khả năng xâm nhập từ xa vào hệ thống OT. Các tổ chức cần nâng cao nhận thức về các mối đe dọa này, từ đó củng cố biện pháp bảo vệ, đồng thời chủ động ứng phó nhằm bảo vệ tài sản và dữ liệu trước nguy cơ tấn công mạng.
Mặc dù chưa thể xác định chính xác danh tính nhóm tin tặc đứng sau chiến dịch này, song việc sử dụng nhất quán các dịch vụ và giao diện tiếng Trung, cùng một số bằng chứng kỹ thuật khác, cho thấy nhiều khả năng đây là một nhóm tấn công sử dụng thành thạo tiếng Trung.
Để chủ động bảo vệ tổ chức công nghiệp nặng khỏi chiến dịch tấn công này, Kaspersky khuyến nghị các biện pháp sau:
Chiến dịch nhắm vào các cơ quan Chính phủ và tổ chức công nghiệp nặng tại nhiều quốc gia và vùng lãnh thổ trong khu vực châu Á Thái Bình Dương (APAC), bao gồm Đài Loan, Malaysia, Trung Quốc, Nhật Bản, Thái Lan, Hồng Kông, Hàn Quốc, Singapore, Philippines và Việt Nam. Tin tặc sử dụng tệp nén chứa mã độc, ngụy trang thành tài liệu liên quan đến thuế, và phát tán thông qua chiến dịch lừa đảo trên email và các ứng dụng nhắn tin như WeChat và Telegram. Sau khi quy trình cài đặt mã độc nhiều lớp phức tạp được cài đặt trên hệ thống, tội phạm mạng sẽ tiến hành cài cắm backdoor mang tên FatalRAT.
Mặc dù chiến dịch này có một số điểm tương đồng với các cuộc tấn công trước đây sử dụng mã độc truy cập từ xa (RAT) mã nguồn mở như Gh0st RAT, SimayRAT, Zegost và FatalRAT. Các chuyên gia nhận thấy sự thay đổi đáng kể trong chiến thuật, kỹ thuật và phương thức hoạt động, tất cả đều được điều chỉnh để nhắm vào các tổ chức, cơ quan sử dụng tiếng Trung Quốc.
Cuộc tấn công được thực hiện thông qua mạng phân phối nội dung (CDN) myqcloud và dịch vụ lưu trữ Youdao Cloud Notes - hai nền tảng điện toán đám mây hợp pháp của Trung Quốc. Để tránh bị phát hiện và ngăn chặn, tin tặc đã sử dụng nhiều kỹ thuật như: liên tục thay đổi máy chủ điều khiển và tải trọng mã độc để giảm khả năng bị truy vết, lưu trữ mã độc trên các trang web hợp pháp nhằm “qua mặt” hệ thống bảo mật, khai thác lỗ hổng trong phần mềm hợp pháp để triển khai tấn công, lợi dụng chính các chức năng hợp pháp của phần mềm để kích hoạt mã độc, mã hóa tệp tin và lưu lượng mạng nhằm che giấu hoạt động bất thường.
Kaspersky đặt tên cho chiến dịch này là SalmonSlalom nhằm mô tả cách thức các tội phạm mạng khéo léo lẩn tránh các hệ thống phòng thủ mạng bằng những chiến thuật tinh vi và liên tục thay đổi phương thức, tương tự như cá hồi vượt thác, một hành trình đầy gian nan, đòi hỏi sức bền và sự khéo léo để vượt qua chướng ngại vật.
Ông Evgeny Goncharov, Trưởng nhóm Kaspersky ICS CERT, nhận định: “Tội phạm an ninh mạng sử dụng những kỹ thuật tương đối đơn giản nhưng vẫn đạt được mục tiêu xâm nhập vào hệ thống, ngay cả trong môi trường công nghệ vận hành (OT). Chiến dịch này là lời cảnh báo tới các tổ chức công nghiệp nặng tại khu vực APAC từ những tác nhân độc hại có khả năng xâm nhập từ xa vào hệ thống OT. Các tổ chức cần nâng cao nhận thức về các mối đe dọa này, từ đó củng cố biện pháp bảo vệ, đồng thời chủ động ứng phó nhằm bảo vệ tài sản và dữ liệu trước nguy cơ tấn công mạng.
Mặc dù chưa thể xác định chính xác danh tính nhóm tin tặc đứng sau chiến dịch này, song việc sử dụng nhất quán các dịch vụ và giao diện tiếng Trung, cùng một số bằng chứng kỹ thuật khác, cho thấy nhiều khả năng đây là một nhóm tấn công sử dụng thành thạo tiếng Trung.
Để chủ động bảo vệ tổ chức công nghiệp nặng khỏi chiến dịch tấn công này, Kaspersky khuyến nghị các biện pháp sau:
- Luôn bật và yêu cầu xác thực hai yếu tố (2FA) khi đăng nhập vào tài khoản quản trị và giao diện web của các giải pháp bảo mật.
- Cài đặt phiên bản mới nhất của các giải pháp bảo mật tập trung trên toàn hệ thống, đồng thời thường xuyên cập nhật cơ sở dữ liệu diệt virus và các mô-đun chương trình.
- Đảm bảo toàn bộ hệ thống đều kích hoạt tất cả thành phần của giải pháp bảo mật. Ngoài ra cần thiết lập chính sách bảo mật ngăn chặn việc vô hiệu hóa, chấm dứt hoặc gỡ bỏ các thành phần bảo vệ mà không cần nhập mật khẩu quản trị viên.
- Cập nhật thông tin về các mối đe dọa mới nhất (ví dụ, từ Kaspersky Security Network) đối với những nhóm hệ thống không bị hạn chế sử dụng dịch vụ bảo mật đám mây theo quy định của pháp luật.
- Cập nhật hệ điều hành và ứng dụng lên phiên bản mới nhất do nhà cung cấp phát hành, đồng thời cài đặt các bản vá bảo mật để giảm thiểu nguy cơ bị khai thác lỗ hổng.
- Triển khai hệ thống giám sát bảo mật (SIEM) như Kaspersky Unified Monitoring and Analysis Platform.
- Sử dụng giải pháp EDR/XDR/MDR để thiết lập cơ sở giám sát cấu trúc phân cấp của các tiến trình trong môi trường OT. Đây là khuyến nghị quan trọng, xuất phát từ thực tế rằng một chức năng hợp pháp của tệp nhị phân hợp pháp đã bị khai thác để thực thi tải trọng độc hại trong các giai đoạn sau.
