Một nhóm gián điệp có liên hệ với Trung Quốc đã dành hơn một năm trong các mạng nghiên cứu y tế, học thuật và quân sự ở Bắc Mỹ để đánh cắp dữ liệu nhạy cảm và email quốc phòng. Những kẻ tấn công đã xâm nhập thông qua cửa hậu trên các máy chủ nghiên cứu REDCap. Phương pháp lấy cắp là phần bất thường: họ điều chỉnh lại các quy tắc Google Workspace của nạn nhân để sao chép các thư trùng khớp vào hộp thư đến mà họ kiểm soát.
Nhóm Tình báo Đe dọa của Google đã trình bày chiến dịch này trong một báo cáo được công bố trong tuần này, quy kết nó với độ tin cậy cao cho một cụm mà nó theo dõi là UNC6508. Các nạn nhân bao gồm các nhà cung cấp dịch vụ lâm sàng, trung tâm học thuật, tổ chức y tế quân sự, nhóm vận động và cơ quan quản lý y tế trên khắp Hoa Kỳ và Canada. Google cho biết họ đã thông báo cho các tổ chức bị ảnh hưởng và làm gián đoạn cơ sở hạ tầng của nhóm.
UNC6508 không phải là một cái tên mới. Google lần đầu tiên giới thiệu nhóm này vào tháng 2 trong một báo cáo rộng hơn về các cuộc tấn công do nhà nước hậu thuẫn nhằm vào khu vực quốc phòng. Điều mới là bức tranh đầy đủ về cách nhóm hoạt động khi vào bên trong.
TNW City Coworking Space – Nơi công việc tốt nhất của bạn diễn ra
Một không gian làm việc được thiết kế để phát triển, hợp tác và có cơ hội kết nối vô tận ở trung tâm công nghệ.
Điểm đầu vào là REDCap, viết tắt của Research Electronic Data Capture, một nền tảng web mà các bệnh viện và trường đại học sử dụng để xây dựng và quản lý cơ sở dữ liệu nghiên cứu lâm sàng. UNC6508 đã bị xâm phạm từ bên ngoài các máy chủ REDCap. Google chưa xác định được vectơ truy cập ban đầu, đặt tên CVE cụ thể hoặc liệt kê các phiên bản bị ảnh hưởng, mặc dù họ quan sát thấy nhóm đang thăm dò các bản cài đặt cũ hơn, dễ bị tấn công.
Khoảng ba tháng sau lần xâm phạm đầu tiên, nhóm này đã triển khai phần mềm độc hại tùy chỉnh mà Google gọi là INFINITERED. Phần mềm độc hại tấn công các tệp hệ thống của REDCap và thực hiện ba việc: chiếm quyền điều khiển quá trình nâng cấp để mỗi phiên bản REDCap mới nạp lại mã thay vì xóa mã, nó thu thập tên người dùng và mật khẩu từ trang đăng nhập và lưu trữ chúng được mã hóa trong các bảng cơ sở dữ liệu cục bộ, đồng thời nó hoạt động như một cửa hậu nhận lệnh thông qua cookie HTTP mỗi lần tải trang.
Sự xâm phạm sớm nhất được biết đến diễn ra vào tháng 9 năm 2023, với hoạt động tiếp tục đến tháng 11 năm 2025. Khi ở trên máy chủ, UNC6508 đã tiến hành trinh sát nội bộ và khám phá thông tin xác thực, lấy thông tin đăng nhập cơ sở dữ liệu và tài khoản dịch vụ. Những thông tin đăng nhập đó cho phép di chuyển ngang vào mạng nội bộ và cuối cùng là tài khoản quản trị viên miền. Google không mô tả đường dẫn chính xác để truy cập quản trị viên.
Với quyền quản trị viên, nhóm đã thiết lập một phương pháp lọc không yêu cầu thêm phần mềm độc hại. UNC6508 lạm dụng các quy tắc tuân thủ nội dung, một tính năng hợp pháp của Google Workspace giúp quét email để tìm từ khóa và có thể sao chép hoặc chuyển tiếp các thư trùng khớp. Nhóm tạo ra một quy tắc, viết sai chính tả “yêu nước,” đã theo dõi gần 150 từ khóa, cụm từ tìm kiếm và địa chỉ email. Khi một tin nhắn trùng khớp, Workspace sẽ âm thầm BCC gửi nó tới địa chỉ Gmail do kẻ tấn công kiểm soát.
Không có phần mềm độc hại trên máy chủ thư, không có công cụ lọc riêng biệt, không có lưu lượng truy cập mạng bất thường. Chỉ một tính năng quản trị tích hợp đã chống lại tổ chức dựa vào nó. Google đã vô hiệu hóa địa chỉ Gmail kể từ đó.
MITER đã liệt kê việc lạm dụng quy tắc chuyển tiếp email như một kỹ thuật đã biết theo T1114.003. Điều mà Google đánh dấu là mới lạ là việc sử dụng các quy tắc tuân thủ nội dung cấp tên miền để đạt được kết quả tương tự, một phương pháp mà Google cho biết trước đây họ chưa từng thấy từ một tác nhân có liên kết với Trung Quốc.
Danh sách từ khóa của quy tắc được ánh xạ tới các ưu tiên thu thập của UNC6508: chính sách địa chiến lược, chiến lược và thiết bị quân sự, công nghệ tiên tiến bao gồm AI và các phương tiện không người lái, các chương trình tấn công mạng và nghiên cứu y tế. Một thuật ngữ nổi bật về tính đặc hiệu của nó, chikungunya, loại vi-rút lây truyền qua muỗi gây ra đợt bùng phát lớn năm 2025 tại tỉnh Quảng Đông của Trung Quốc khiến hơn 16.000 người lây nhiễm.
Chiến dịch minh họa một mô hình rộng hơn. ShinyHunters gần đây đã khai thác lỗ hổng zero-day chưa được vá của Oracle PeopleSoft để tấn công hơn 100 tổ chức, 2/3 trong số đó là các trường đại học. Trong cả hai trường hợp, những kẻ tấn công nhắm mục tiêu vào phần mềm doanh nghiệp mà các tổ chức nghiên cứu phụ thuộc vào và nạn nhân bị hạn chế khả năng hiển thị về sự xâm phạm cho đến khi một bên bên ngoài tiết lộ nó.
Kỹ thuật của Google Workspace đặc biệt đáng lo ngại vì nó hầu như không để lại dấu vết pháp lý nào trên chính hệ thống thư. Khi tin tặc xâm nhập Ủy ban Châu Âu thông qua phiên bản bị đầu độc của công cụ bảo mật Trivy, cuộc tấn công ít nhất đã tạo ra lưu lượng truy cập mạng bất thường và cuối cùng gây ra cảnh báo. Cách tiếp cận của UNC6508 không tạo ra kết quả nào vì việc sao chép email được thực hiện bởi một tính năng hệ thống hợp pháp hoạt động chính xác như thiết kế.
Khuyến nghị của Google rất cụ thể. Vá các máy chủ REDCap đối diện bên ngoài và xóa hoàn toàn các phiên bản cũ vì REDCap cho phép các cài đặt cũ chạy cùng với các phiên bản hiện tại, tạo điều kiện cho các cuộc tấn công hạ cấp. Xem lại các quy tắc chuyển tiếp thư và tuân thủ nội dung của Google Workspace đối với mọi nội dung BCC hoặc định tuyến lại email đến các địa chỉ bên ngoài. Kiểm tra nhật ký kiểm tra của quản trị viên để biết thời điểm các quy tắc thay đổi chứ không chỉ những gì họ hiện nói. Săn lùng INFINITERED bằng cách sử dụng các chỉ số được công bố của GTIG. Và triển khai MFA chống lừa đảo trên tài khoản quản trị viên vì toàn bộ bước đánh cắp email phụ thuộc vào quyền truy cập của quản trị viên.
Google vẫn chưa biết UNC6508 lần đầu tiên tiếp cận được máy chủ REDCap như thế nào. Khoảng cách đó không quan trọng bằng bài học rộng hơn: một khi kẻ tấn công nắm quyền truy cập của quản trị viên vào hệ thống email trên đám mây, một tính năng tích hợp có thể lặng lẽ trở thành một kênh lọc. Cửa hậu REDCap đã đưa họ vào được. Quy tắc của Google Workspace đã lấy được dữ liệu. Người bảo vệ cần phải kiểm tra cả hai.
Nguồn The Next Web