Các nhà nghiên cứu của Kaspersky cho biết mã độc này có những điểm tương đồng với phần mềm độc hại Manuscrypt, một phần trong bộ công cụ tấn công của nhóm tin tặc APT Lazarus. Vụ tấn công đầu tiên được phát hiện vào tháng 6/2021.
Ít nhất 7,2% số máy tính bị phần mềm độc hại tấn công là một phần của hệ thống điều khiển công nghiệp (ICS) được sử dụng bởi các tổ chức trong lĩnh vực kỹ thuật, tự động hóa, năng lượng, sản xuất, xây dựng, quản lý,… chủ yếu ở Ấn Độ, Việt Nam và Nga.
Trong số các trình cài đặt bị bẻ khóa được sử dụng cho mạng botnet bao gồm: Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, Bộ công cụ của kỹ sư SolarWinds và giải pháp antivirus của Kaspersky. Việc cài đặt phần mềm vi phạm bản quyền được kích hoạt bởi phương pháp search poisoning. Khi đó những kẻ tấn công tạo ra các trang web độc hại và tối ưu hóa công cụ tìm kiếm để làm cho kết quả hiển thị nổi bật nhằm đánh lừa người dùng.
Sau khi được cài đặt, PseudoManuscrypt đi kèm với một loạt các tính năng xâm nhập cho phép kẻ tấn công toàn quyền kiểm soát hệ thống bị lây nhiễm. Điều này bao gồm vô hiệu hóa các giải pháp antivirus, đánh cắp dữ liệu kết nối VPN, ghi lại các lần nhấn phím, ghi âm, chụp ảnh màn hình và quay video màn hình cũng như chặn dữ liệu được lưu trữ trong clipboard.
Kaspersky đã xác định được 100 phiên bản khác nhau của trình tải PseudoManuscrypt, với các biến thể thử nghiệm sớm nhất xuất hiện từ ngày 27/3/2021. Các thành phần của trojan được mượn từ phần mềm độc hại hàng hóa như Fabookie và thư viện giao thức KCP do APT41 có trụ sở tại Trung Quốc sử dụng gửi dữ liệu trở lại hệ thống máy chủ C2.
Các mẫu phần mềm độc hại do ICS CERT phân tích cũng có các bình luận được viết bằng tiếng Trung Quốc và phát hiện ngôn ngữ này thường kết nối với máy chủ C2. Tuy nhiên, vẫn chưa đủ bằng chứng để kết luận về nguồn gốc của nhóm tin tặc.
M.H
14:00 | 08/12/2021
10:00 | 20/01/2022
17:00 | 28/01/2022
17:00 | 19/11/2021
18:00 | 29/10/2021
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
08:00 | 10/02/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Fortinet (Mỹ) đã xác định được các gói độc hại trên kho lưu trữ Python Package Index (PyPI) mã nguồn mở nhằm phân phối phần mềm độc hại đánh cắp thông tin có tên là WhiteSnake trên hệ thống Windows. Bài viết này tập trung phân tích một số payload trên các gói trong kho lưu trữ PyPI.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024