APT41, một hacker cấp quốc gia đến từ Trung Quốc, thực hiện các cuộc tấn công mạng phức tạp nhằm vào ngành công nghiệp cờ bạc, thu thập dữ liệu nhạy cảm và thực hiện xâm nhập liên tục, gây ra sự cảnh giác về an ninh mạng.
Gần đây, tổ chức hacker cấp quốc gia APT41—còn được gọi là Brass Typhoon, Earth Baku, Wicked Panda hoặc Winnti—đã thu hút sự chú ý của giới an ninh mạng do thực hiện một loạt các cuộc tấn công mạng phức tạp vào ngành công nghiệp cờ bạc và trò chơi. Trong một tuyên bố đăng trên trang tin Hacker News, Ido Naor, đồng sáng lập và Giám đốc điều hành của công ty an ninh mạng Israel Security Joes, đã tiết lộ các phương thức tấn công của APT41 và động cơ kinh tế đằng sau chúng.
Các cuộc tấn công APT41 nhằm vào nhiều công ty cờ bạc kéo dài gần chín tháng. Theo Naor, tính bí mật và phức tạp của các cuộc tấn công này đã thu hút sự chú ý của các chuyên gia an ninh mạng. APT41 đã lén lút thu thập dữ liệu quan trọng như dữ liệu bí mật trong quá trình cung cấp dịch vụ, cấu hình mạng và mật khẩu người dùng trong một số cuộc tấn công này. Kẻ tấn công đã chứng minh khả năng kỹ thuật cao và sự linh hoạt trong chiến thuật của họ bằng cách liên tục cập nhật bộ công cụ dựa trên phản ứng của đội ngũ an ninh của công ty mục tiêu.
Theo phân tích của Security Joes, cuộc tấn công mạng này trông giống như “Operation Crimson Palace”, một cuộc xâm nhập mà Sophos đã theo dõi. Một loạt các chiến thuật và bộ công cụ khác nhau đã được APT41 sử dụng để vượt qua phần mềm an ninh được cài đặt trong môi trường mục tiêu, thành công trong việc thiết lập các kênh truy cập từ xa bí mật và liên tục theo dõi và thu thập dữ liệu từ các mục tiêu
Phương pháp tấn công APT41 không chỉ tinh vi mà còn hiệu quả. Mặc dù vectơ truy cập ban đầu vẫn chưa được xác định, nhưng bằng chứng cho thấy kẻ tấn công có thể đã sử dụng email lừa đảo làm điểm xâm nhập thay vì sử dụng những lỗ hổng ứng dụng mạng đã được phát hiện hoặc phá hủy chuỗi cung ứng Theo Security Joes, sau khi xâm nhập cơ sở hạ tầng của mục tiêu, kẻ tấn công đã nhanh chóng thực hiện cuộc tấn công DCSync để thu thập các hash mật khẩu của quản trị viên và tài khoản dịch vụ để tăng quyền truy cập.
Trong suốt quá trình này, APT41 thể hiện khả năng tổ chức và trình độ kỹ thuật rất cao bằng cách sử dụng các phương pháp như công cụ wmic và lấn hành DLL ẩn.exe, sử dụng quyền truy cập quản trị để kích hoạt mã độc. Họ đã tạo ra các tệp DLL độc hại có thể được truy xuất thông qua giao thức SMB và kết nối với các máy chủ điều khiển và chỉ huy (C2), được mã hóa chặt chẽ để đảm bảo rằng các tệp bị lây nhiễm luôn được kiểm soát.
Ngoài ra, APT41 đã sử dụng một phương pháp độc đáo để cập nhật dữ liệu của máy chủ C2 của mình. Kẻ tấn công sẽ cập nhật địa chỉ C2 bằng cách thu thập dữ liệu người dùng trên GitHub trong trường hợp máy chủ C2 đã mã hóa cứng gặp sự cố. Cách tiếp cận mới này đã làm cho chúng trở nên bí mật hơn và bền vững hơn, khiến các cuộc tấn công trở nên khó phát hiện.
Sau khi bị phát hiện, APT41 tiếp tục hoạt động bằng cách cập nhật phương pháp và sử dụng mã JavaScript cực kỳ khó hiểu trong các tệp XSL đã chỉnh sửa để thực hiện cuộc tấn công kết hợp với wmic.exe. Các nhà nghiên cứu chỉ ra rằng phương pháp tấn công này đặc biệt nhắm vào các địa chỉ IP cụ thể, cho thấy kẻ tấn công đã xác định và chọn đúng thiết bị mục tiêu..
Ngành công nghiệp cờ bạc bị đe dọa trực tiếp bởi cuộc tấn công của APT41, đồng thời minh họa các phương pháp tấn công mạng phức tạp của các tổ chức hacker cấp quốc gia dưới động lực lợi ích kinh tế. Security Joes rất quan tâm đến điều này và tin rằng hành động của APT41 là do các nhà hoạch định chính sách được tài trợ bởi chính phủ, chứng tỏ tính tổ chức và kỹ năng cao trong các cuộc tấn công mạng.
Các doanh nghiệp và tổ chức nên nâng cao nhận thức về an ninh và khả năng kỹ thuật để đối phó với những mối đe dọa mạng ngày càng tăng khi tình hình an ninh mạng ngày càng nghiêm trọng. Trường hợp APT41 một lần nữa cho thấy an ninh mạng là một cuộc chiến giành lợi ích kinh tế cũng như công nghệ.
