Chiến dịch RedHotel: nhóm tin tặc APT Trung Quốc tấn công Việt Nam
-
Báo cáo này của Insikt Group - công ty tình báo mạng Recorded Future - phân tích hoạt động của nhóm tin tặc APT RedHotel, một trong những nhóm APT hoạt động tích cực nhất được cho là có liên hệ với chính phủ Trung Quốc.
- RedHotel được cho là hoạt động từ thành phố Thành Đô, tỉnh Tứ Xuyên, Trung Quốc. Nhóm này có thể là nhà thầu phục vụ Bộ An ninh Quốc gia Trung Quốc.
- RedHotel nhắm mục tiêu vào các tổ chức chính phủ, hàng không vũ trụ, truyền thông, viễn thông, nghiên cứu và phát triển ở ít nhất 17 quốc gia Châu Á, Châu Âu và Bắc Mỹ.
- RedHotel sử dụng các công cụ độc hại như Cobalt Strike, ShadowPad, Winnti, FunnySwitch, Spyder và Brute Ratel. Nhóm này cũng sử dụng kỹ thuật DLL hijacking để thâm nhập vào các mục tiêu.
- RedHotel sử dụng cơ sở hạ tầng đa tầng để che giấu hoạt động, bao gồm máy chủ VPS làm proxy và các máy chủ điều khiển từ xa. Hoạt động quản trị cơ sở hạ tầng có thể được thực hiện từ các địa chỉ IP Trung Quốc.
- Báo cáo đưa ra các biện pháp giảm thiểu rủi ro từ RedHotel, bao gồm vá lỗ hổng, giám sát và phân tích mạng, cùng các biện pháp bảo vệ dữ liệu nhạy cảm.
https://cms.recordedfuture.com/uploads/2023_redhotel_body_b22a0b5597.png
Một chiến dịch của RedHotel được nêu trong báo cáo sử dụng chứng chỉ ký mã độc hại đánh cắp từ một công ty game Đài Loan và lợi dụng cơ sở hạ tầng chính phủ Việt Nam bị xâm nhập cho hoạt động điều khiển và kiểm soát phần mềm độc hại Brute Ratel C4. Payload Brute Ratel C4 quan sát được được cấu hình để giao tiếp với cơ sở hạ tầng có thể bị xâm nhập thuộc Viện Khoa học Tổ chức Nhà nước. Đáng chú ý, cơ sở hạ tầng liên kết với hoạt động này của RedHotel cũng phục vụ một chứng chỉ TLS đánh cắp ban đầu thuộc một cơ quan chính phủ Việt Nam khác, Bộ Giáo dục và Đào tạo, vẫn đang được nhóm đe dọa sử dụng tính đến tháng 6/2023.
Vào tháng 12/2022, ngay sau khi phát hiện chứng chỉ chính phủ Việt Nam bị đánh cắp trên địa chỉ IP 45.32.33.17, một thư mục mở được quan sát là lưu trữ 3 tập tin có tên libxselinux, libxselinux.so và install. Mặc dù không thể phân tích các mẫu này, 3 tập tin kết hợp cùng cách đánh vần không chuẩn của libselinux, thường được quan sát liên quan tới phiên bản Linux của mã độc Winnti tùy chỉnh. Phiên bản Winnti Linux đã được quan sát sử dụng bởi nhiều nhóm APT có hỗ trợ nhà nước Trung Quốc, bao gồm RedHotel. -
@dinhcaohack ai dà :)) dnay ở đâu r ông e, liên lạc lại cái xem nào