Các nhà nghiên cứu bảo mật Den Luzvyk, Tim Peck và Oleg Kolesnikov của hãng bảo mật Securonix (Mỹ) cho biết: “Chiến dịch này diễn ra với hai mục đích, một là bán quyền truy cập vào máy chủ bị xâm nhập, hai là cài cắm mã độc tống tiền”, đồng thời quy kết cho các tác nhân đe dọa đến từ Thổ Nhĩ Kỳ thực hiện với tên gọi là RE#TURGENCE.
Quyền truy cập ban đầu vào máy chủ đòi hỏi phải tiến hành các cuộc tấn công brute-force, sau đó là sử dụng tùy chọn cấu hình xp_cmdshell để chạy các lệnh shell trên máy chủ bị xâm nhập. Hành động này tương tự với một chiến dịch trước đó có tên là DB#JAMMER được công bố vào tháng 9/2023.
Giai đoạn này mở đường cho việc truy xuất tập lệnh PowerShell từ một máy chủ từ xa chịu trách nhiệm tìm nạp phần mềm độc hại Cobalt Strike. Sau đó, bộ cung cụ sau khai thác được sử dụng để tải xuống ứng dụng hỗ trợ máy tính từ xa AnyDesk từ một mạng chia sẻ được gắn kết để truy cập vào máy tính, đồng thời tải xuống các công cụ bổ sung như Mimikatz để thu thập thông tin xác thực và Advanced Port Scanner để tiền hành trinh sát mạng.
Các hành động thực hiện trên máy mục tiêu được thực hiện bằng tiện ích PsExec, đây là tiện ích quản trị hệ thống có thể thực thi các chương trình trên máy chủ Windows từ xa.
Cuối cùng, các tin tặc triển khai phần mềm mã độc tống tiền Mimic. Sau khi quá trình mã hóa hoàn tất, tiến trình red.exe sẽ thực thi thông báo mã hóa/thanh toán được lưu trên ổ C:\ của nạn nhân dưới dạng “—IMPORTANT—NOTICE—.txt”. Tệp văn bản chứa thông báo sau:
Thông báo thanh toán mã độc tống tiền Mimic
Mimic lần đầu tiên được xác định và thu hút được sự chú ý vào tháng 01/2023. Một biến thể của nó cũng được sử dụng trong chiến dịch DB#JAMMER.
Nhà nghiên cứu Kolesnikov chia sẻ: “Các chỉ số và cách thức tấn công được sử dụng trong hai chiến dịch là hoàn toàn khác nhau, vì vậy khả năng rất cao đây là hai chiến dịch khác nhau. Cụ thể hơn, tuy là các phương pháp xâm nhập ban đầu tương tự nhau, nhưng DB#JAMMER phức tạp hơn một chút và sử dụng đường hầm (tunnel). Trong khi đó, chiến dịch RE#TURGENCE nhắm mục tiêu rộng hơn và có xu hướng sử dụng các công cụ hợp pháp cũng như giám sát và quản lý từ xa, chẳng hạn như AnyDesk, để cố gắng trốn tránh sự phát hiện của các giải pháp bảo mật”.
Các nhà nghiên cứu cảnh báo: “Cần cân nhắc việc để các máy chủ quan trọng trực tiếp kết nối với môi trường Internet. Trong chiến dịch RE#TURGENCE, những kẻ tấn công có thể trực tiếp tấn công vào máy chủ từ bên ngoài vùng mạng chính”.
Lê Thị Bích Hằng
(Tổng hợp)
08:00 | 11/01/2024
14:00 | 07/03/2022
09:00 | 29/01/2024
07:00 | 06/03/2023
15:00 | 04/04/2024
Chính quyền Đức đã tuyên bố đánh sập một thị trường ngầm bất hợp pháp có tên Nemesis Market chuyên buôn bán các mặt hàng như ma túy, dữ liệu bị đánh cắp và các dịch vụ tội phạm mạng khác.
14:00 | 09/03/2024
Sáng ngày 09/3, Hiệp hội An toàn thông tin Việt Nam (VNISA) đã tổ chức gặp mặt các hội viên đầu năm. Tới tham dự và phát biểu chỉ đạo có ông Nguyễn Huy Dũng, Thứ trưởng Bộ Thông tin và Truyền thông (TT&TT).
08:00 | 06/02/2024
Cục Điều tra Liên bang Mỹ (FBI) phá vỡ mạng botnet KV do nhóm tin tặc Volt Typhoon của Trung Quốc sử dụng trong các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng của Mỹ.
09:00 | 05/01/2024
Là cơ sở hạ tầng quan trọng kết nối thông tin toàn cầu, việc nắm giữ khả năng cung cấp cáp thông tin dưới biển (Submarine Communications Cables) hay cáp quang biển (Submarine Optical Fiber Cable) phần nào thể hiện trình độ phát triển thông tin liên lạc và năng lực cạnh tranh toàn cầu của một quốc gia. Bài báo này tập trung phân tích sự cạnh tranh giữa Mỹ - Trung Quốc trong việc xây dựng, phát triển và cung cấp cáp quang biển trên bình diện toàn cầu.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024
