Trong bức tranh phức tạp của an ninh mạng toàn cầu, các nhóm Advanced Persistent Threat luôn là một trong những đối thủ đáng gờm nhất. Nổi bật trong số đó là APT41 (Group G0096), một nhóm tấn công được các nhà nghiên cứu an ninh liên kết với chính phủ Trung Quốc. APT41 không chỉ nổi tiếng với khả năng song song thực hiện các hoạt động gián điệp mạng (cyber espionage) và tấn công vì lợi ích tài chính (financially motivated attacks), mà còn bởi sự tinh vi trong việc sử dụng các kỹ thuật zero-day exploit và custom malware để duy trì persistence và lẩn tránh phát hiện trong các chiến dịch nhắm vào mục tiêu cấp cao, điển hình là các hệ thống chính phủ Mỹ.

Mổ xẻ phương thức tác chiến của APT41

Sự thành công của APT41 trong việc xâm nhập và duy trì sự hiện diện trong các mạng lưới chính phủ Mỹ bắt nguồn từ sự kết hợp khéo léo của nhiều Tactic, Techniques, and Procedures (TTPs) tiên tiến, đặc biệt là khả năng khai thác lỗ hổng zero-day và triển khai các custom malwares. Các kỹ thuật của APT41 được ánh xạ chi tiết trên khung MITRE ATT&CK.

1. Khai thác Zero-Day và N-Day Vulnerabilities

APT41 được biết đến với khả năng nhanh chóng phát hiện và khai thác các N-day vulnerabilities, hoặc thậm chí là các zero-day vulnerabilities.

• Tốc độ phản ứng và khai thác N-day: Nhóm này thể hiện khả năng phản ứng cực nhanh khi các lỗ hổng nghiêm trọng được công bố rộng rãi. APT41 đã nhanh chóng tích hợp và khai thác lỗ hổng Log4j (CVE-2021-44228) chỉ vài giờ sau khi thông tin về lỗ hổng này được công khai. Tương tự, nhóm cũng đã lợi dụng các lỗ hổng như ProxyLogon (Microsoft Exchange), lỗ hổng trong Citrix Application Delivery Controllers (ADC) - CVE-2019-19781, và Zoho ManageEngine Desktop Central - CVE-2020-10189 để đạt được quyền truy cập ban đầu vào các hệ thống mục tiêu.

• Khai thác Zero-Day độc quyền: Một trong những dấu ấn đáng chú ý của APT41 là việc sử dụng các lỗ hổng zero-day chưa được công khai. Điển hình là việc khai thác lỗ hổng trong ứng dụng USAHerds (CVE-2021-44207), một ứng dụng web được các quan chức nông nghiệp Mỹ sử dụng để quản lý kiểm soát dịch bệnh động vật. Việc khai thác zero-day cho phép nhóm này vượt qua các biện pháp phòng thủ truyền thống một cách hiệu quả, trước khi các bản vá hoặc chữ ký nhận diện có thể được phát triển và triển khai.

• Tấn công Supply Chain Compromise: Ngoài việc khai thác các lỗ hổng trực tiếp, APT41 cũng sử dụng các cuộc tấn công Supply Chain Compromise để cài cắm mã độc vào các phần mềm hoặc thiết bị được sử dụng rộng rãi, từ đó thâm nhập vào các mục tiêu cuối cùng.

2. Custom Malware và Kỹ thuật Evasion

APT41 sở hữu một kho vũ khí mã độc đa dạng, bao gồm cả COTS - Commercial Off-The-Shelf như Cobalt Strike Beacon và các biến thể custom malware được thiết kế để tối ưu hóa khả năng evasion và persistence.

• Đa dạng công cụ và mã độc: Nhóm này sử dụng hơn 40 họ malware và công cụ khác nhau, bao gồm các backdoor (như PLUSDROP, PLUSINJECT, TOUGHPROGRESS), credential stealer, keylogger, và rootkit. Sự đa dạng này cho phép chúng thích ứng với các môi trường mục tiêu khác nhau và tối đa hóa cơ hội thành công, đồng thời làm phức tạp công tác phân tích.

• Kỹ thuật Process Hollowing và DLL Side-loading: APT41 thường áp dụng các kỹ thuật tinh vi như process hollowing và DLL side-loading để thực thi mã độc, giảm thiểu disk-based artifacts và lẩn tránh sự phát hiện của các giải pháp EDR/XDR truyền thống. Các biến thể malware PLUSDROP và PLUSINJECT là ví dụ điển hình cho cách tiếp cận này, với PLUSINJECT thực hiện process hollowing vào svchost.exe.

• Sử dụng cloud hợp pháp cho C2: Một trong những TTPs đáng chú ý của APT41 là sử dụng các cloud hợp pháp như Google Calendar cho hoạt động C2. Bằng cách nhúng các lệnh và dữ liệu mã hóa vào các sự kiện lịch, APT41 có thể ngụy trang lưu lượng C2 thành các hoạt động hợp pháp trên các dịch vụ đám mây, gây khó khăn cực lớn cho việc phát hiện dựa trên signature hoặc heuristic thông thường. Malware TOUGHPROGRESS là một minh chứng cho kỹ thuật này. Nhóm cũng sử dụng các subdomain trên Cloudflare Workers hoặc TryCloudflare làm C2 

• Obfuscation và Anti-Analysis: Để làm phức tạp quá trình phân tích và reverse engineering, APT41 thường sử dụng các kỹ thuật obfuscation và anti-analysis, điển hình là việc sử dụng công cụ bảo vệ như Themida, hoặc mã hóa dữ liệu trong các file hình ảnh.

3. Persistence & Privilege Escalation

APT41 rất chú trọng vào việc duy trì sự hiện diện trong hệ thống mục tiêu. Điều này bao gồm việc tạo hoặc sửa đổi các dịch vụ Windows để thiết lập Persistence, và khai thác các lỗ hổng leo thang đặc quyền để đạt được quyền NT AUTHORITYSYSTEM, như việc sử dụng lỗ hổng BADPOTATO cho kỹ thuật Access Token Manipulation. Nhóm này cũng thực hiện Account Discovery để tìm kiếm các tài khoản có đặc quyền cao.

Bài học lớn cho Threat Hunting

Sự tinh vi và khả năng thích ứng của APT41 đặt ra những thách thức đáng kể cho các nhà phân tích an ninh và cung cấp những bài học giá trị cho hoạt động Threat Hunting:

1. Chuyển đổi từ Detection sang Proactive Hunting: Việc phụ thuộc hoàn toàn vào các hệ thống phát hiện dựa trên signature hoặc threshold-based detection là không đủ. Các đội SOC và Threat Hunter cần chủ động tìm kiếm các dấu hiệu của tấn công bằng cách sử dụng các hypotheses dựa trên Threat Intelligence về TTPs của các nhóm APT như APT41. MITRE ATT&CK là một khuôn khổ cực kỳ hữu ích để xây dựng các giả thuyết này.

2. Tập trung vào Behavior-based Detection và Anomalies: Thay vì chỉ tìm kiếm các IoC tĩnh, các nhà phân tích cần chú trọng vào việc phát hiện các hành vi bất thường của người dùng, thiết bị và ứng dụng. 

3. Tăng cường Visibility trên các Endpoint: Để phát hiện các kỹ thuật lẩn tránh như in-memory execution và DLL side-loading, cần có khả năng thu detailed logging từ các endpoint, network flow monitoring, và API-level behavior analysis trên các hệ thống quan trọng.

4. Tận dụng CTI và MITRE ATT&CK: Việc cập nhật liên tục thông tin tình báo về APT41, bao gồm các TTPs mới, IoC, và các biến thể malware, là tối quan trọng. CTI giúp xây dựng các giả thuyết hunting hiệu quả và tinh chỉnh các quy tắc phát hiện. Ánh xạ các phát hiện với các kỹ thuật trong MITRE ATT&CK giúp hiểu rõ hơn về khả năng và mục tiêu của đối thủ.

5. Giám sát Lưu lượng mã hóa và Dịch vụ đám mây: Với việc APT41 sử dụng các kênh C2 ẩn trong lưu lượng hợp pháp (như Google Calendar, Cloudflare Workers), các giải pháp bảo mật cần có deep packet inspection, phân tích metadata, và giám sát hành vi trên các dịch vụ đám mây để phát hiện các tín hiệu bất thường, thay vì chỉ dựa vào các blacklist truyền thống.

6. Forensic Analysic và Reverse Engineering: Để hiểu rõ hơn về cách thức hoạt động của custome malware và các evasions, forensic analysis trên các hệ thống bị xâm nhập và reverse engineer mã độc là vô cùng cần thiết để phát triển các biện pháp phòng thủ hiệu quả hơn.

Hành trình xâm nhập hệ thống chính phủ Mỹ của APT41 cung cấp một bức tranh rõ nét về sự phức tạp và mức độ đe dọa của các nhóm tấn công cấp nhà nước. Nó là lời nhắc nhở đanh thép rằng các biện pháp bảo mật tĩnh và truyền thống không còn đủ sức chống chọi. Để đối phó với những thách thức này, cộng đồng an ninh mạng cần không ngừng nâng cao năng lực Threat Hunting, đầu tư vào các công nghệ phát hiện dựa trên hành vi, và duy trì một tư duy “assume breach” để chủ động ứng phó với các cuộc tấn công tinh vi nhất.