Operation Lotus Blossom APT – Malware Elise

Các cuộc tấn công Advanced Persistent Threat (APT) tiếp tục xuất hiện trên quy mô toàn cầu. Điều khác biệt giữa các cuộc tấn công này và các cuộc tấn công thông thường là các nguồn lực cần thiết để phát triển và thực hiện chúng: thời gian, tiền bạc, và những kiến ​​thức cần thiết để tạo ra các mảnh tùy chỉnh của phần mềm độc hại để thực hiện các cuộc tấn công nhắm mục tiêu cụ thể.

Operation Lotus Blossom là một trong những cuộc tấn công APT gần đây đã được phát hiện và phân tích. Đây là một chiến dịch   tiên tiến chống lại hầu hết các chính phủ và các doanh nghiệp tài trợ do nhà nước điều hành ở Philippines, Hong Kong, Việt Nam, và Indonesia.

Người ta cho rằng nhóm này thực hiện các cuộc tấn công để đạt được một lợi thế địa chính trị bằng cách đánh cắp thông tin cụ thể từ chính phủ và các tổ chức quân sự trong khu vực đó.

Tại thời điểm này, vẫn còn quá sớm để nói rằng tầm ảnh hưởng của cuộc tấn công sẽ mở rộng đến khu vực tư nhân (a la Stuxnet và Duqu).

Cuộc tấn công hoạt động như thế nào?

Operation Lotus Blossom được phát hiện có dính líu tới một bộ công cụ phần mềm độc hại tùy chỉnh mới mà tác giả đặt tên là Elise. Phần này của phần mềm độc hại được thiết kế với một số chức năng độc đáo, bao gồm các khả năng:

• Tránh sự phát hiện sandbox
• Kết nối và kiểm soát máy chủ
• Trích xuất dữ liệu
• Cung cấp phần mềm độc hại giai đoạn 2

Như đã thấy trong trường hợp của nhiều nhóm gián điệp không gian mạng tiên tiến, nó bắt đầu với một email lừa đảo. Các email chứa thông tin đó có vẻ rất đáng tin cậy và được áp dụng cho chính phủ hoặc các mục tiêu quân sự. Ví dụ, nó sử dụng những thứ như rosters quân sự mà các mục tiêu mong đợi để xem. Khi các nạn nhân thấy email và mở các tập tin đính kèm, một tài liệu mồi được trình bày có vẻ như là hợp pháp, tuy nhiên, điều thực sự xảy ra là một backdoor đang được mở và phần mềm độc hại đang được cài đặt trên máy tính của nạn nhân. Điều này cho phép kẻ tấn công xây dựng cơ sở hoạt động để tiến hành thêm do thám mạng, gây hại hệ thống mới, cũng như cung cấp phần mềm độc hại giai đoạn thứ hai hoặc trích xuất dữ liệu.

Tác động đến bạn

• Bất kỳ phần mềm độc hại nào được cài đặt trên mạng của bạn đặt bạn vào nguy cơ của sự xâm nhập, đặc biệt là một thiết kế nhằm đánh cắp dữ liệu
• Sau khi cài đặt, Elise có thể lây nhiễm các máy khác và tiếp tục cung cấp các biến thể malware bổ sung cần thiết
• Elise được thiết kế đặc biệt để đánh cắp dữ liệu, đặt thông tin nhạy cảm của bạn và các khách hàng của bạn vào tình trạng nguy hiểm.

AlienVault trợ giúp như thế nào

AlienVault Labs tiếp tục thực hiện các cuộc nghiên cứu chuyên sâu về các mối đe dọa tương tự như vậy, thu thập một lượng lớn dữ liệu và kết quả là tạo ra phần mềm ngăn chặn hiểm họa trên.

Đội Labs đã phát hành chữ ký IDS và một quy tắc tương quan với các nền tảng AlienVault USM để khách hàng có thể phát hiện hoạt động từ Elise.

Nền tảng quản lý an ninh thống nhất (USM) Platform giúp bạn quét mạng của bạn để xác định tài nguyên có thể bị nhiễm phần mềm độc hại Elise, giúp bạn  dễ dàng ưu tiên nhanh chóng xác định hệ thống cần phải được giải quyết đầu tiên.

Nó không chỉ có thể xác định các hệ thống dễ bị xâm nhập, mà còn có thể giúp bạn phát hiện nỗ lực xâm nhập của phần mềm độc hại.

THN