DevOps VietNam

Nhóm hacker APT31 của Trung Quốc ẩn mình trong dịch vụ Cloud, tấn công tinh vi vào ngành IT Nga

Nhóm tin tặc tinh vi APT31, được cho là có liên kết với Trung Quốc, đang bị cáo buộc đứng sau một chiến dịch gián điệp mạng nhắm mục tiêu vào lĩnh vực công nghệ thông tin của Nga trong giai đoạn 2024-2025.

Điểm nổi bật của chiến dịch này là việc sử dụng các licensed cloud service như Yandex Cloud và Microsoft OneDrive làm kênh Command-and-Control để trích xuất dữ liệu, cho phép nhóm này ẩn mình và tránh bị phát hiện trong thời gian dài.

Theo báo cáo của các nhà nghiên cứu tại Positive Technologies, mục tiêu chính của các cuộc tấn công là các công ty IT làm đối tác và đơn vị tích hợp giải pháp cho các cơ quan chính phủ Nga. APT31, còn được biết đến với tên gọi Violet Typhoon hay Red Keres, đã hoạt động ít nhất từ năm 2010 và chủ yếu tập trung vào việc thu thập tình báo mang lại lợi thế chính trị, kinh tế hoặc quân sự cho Bắc Kinh.

Kỹ thuật xâm nhập của APT31 được đánh giá là cực kỳ kín đáo. Các cuộc tấn công thường được thực hiện vào cuối tuần và ngày lễ, thời điểm phòng tuyến an ninh lỏng lẻo. Nhóm này tận dụng các dịch vụ cloud phổ biến tại Nga để thiết lập C2 và kênh data exfiltration, khiến lưu lượng độc hại hòa lẫn với lưu lượng mạng thông thường, gây khó khăn cho việc phát hiện.

Trong ít nhất một vụ việc, nhóm APT31 đã xâm nhập mạng lưới của một công ty IT từ cuối năm 2022, sau đó leo thang hoạt động vào dịp nghỉ Tết Dương lịch năm 2023. Kỹ thuật xâm nhập gần đây nhất bao gồm việc gửi email spear-phishing chứa file RAR, trong đó có tệp Windows Shortcut để khởi chạy CloudyLoader thông qua kỹ thuật DLL side-loading nhằm thiết lập quyền truy cập ban đầu.

Để duy trì sự hiện diện và hoạt động gián điệp, APT31 đã liên tục làm mới kho công cụ của mình, bao gồm các công cụ tùy chỉnh như YaLeak dùng để tải thông tin lên Yandex Cloud, OneDriveDoor sử dụng Microsoft OneDrive làm C2 và LocalPlugX để lây lan trong mạng nội bộ. Việc duy trì các scheduled tasks giả mạo ứng dụng hợp pháp như Google Chrome hay Yandex Disk đã giúp các tin tặc ở trong hạ tầng nạn nhân trong nhiều năm, âm thầm thu thập dữ liệu nhạy cảm và mật khẩu từ các dịch vụ nội bộ.