Theo các nhà nghiên cứu, cuộc tấn công được trang bị một “kho vũ khí” tối tân gồm nhiều dropper, backdoor và các công cụ khác bao gồm backdoor Chinoxy, PcShare RAT và FunnyDream…
Một điều đáng lưu ý là chiến dịch FunnyDream trước đây từng có liên quan đến các tổ chức chính phủ cấp cao tại Malaysia, Đài Loan và Philippines, cùng phần lớn nạn nhân ở Việt Nam.
Không chỉ sử dụng 200 thiết bị tham gia chiến dịch tấn công, hacker có thể đã xâm nhập vào trình điều khiển tên miền của nạn nhân, cho phép chúng di chuyển trong toàn hệ thống và có khả năng giành quyền kiểm soát các hệ thống khác. Nghiên cứu gần như không chỉ ra được manh mối về cách thức lây nhiễm, mặc dù có giả thuyết hacker đã sử dụng kỹ thuật lừa đảo để lừa người dùng mở các tệp tin độc hại.
Sau bước đầu xâm nhập vào hệ thống mục tiêu, hacker bắt đầu triển khai hàng loạt các công cụ bao gồm backdoor Chinoxy và trojan PcShare của Trung Quốc.
Ngoài các tiện ích dòng lệnh như tasklist.exe, ipconfig.exe, systeminfo.exe và netstat để thu thập thông tin hệ thống, một số tiện ích khác bao gồm ccf32, FilePak, FilePakMonitor, ScreenCap, Keyrecord và TcpBridge được cài đặt để thu thập tệp, chụp ảnh màn hình, ghi nhật ký tổ hợp phím và chuyển thông tin thu thập được đến máy chủ do hacker kiểm soát.
Đáng lưu ý, Backdoor FunnyDream được sử dụng để thu thập dữ liệu người dùng, xóa dấu vết triển khai phần mềm độc hại, cản trở việc phát hiện của các giải pháp bảo mật. Thông tin thu thập sẽ được gửi đến các máy chủ C&C tại Hồng Kông, Trung Quốc, Hàn Quốc và Việt Nam.
M.H
16:00 | 26/10/2020
16:00 | 11/12/2020
11:00 | 25/02/2021
15:00 | 04/05/2020
14:00 | 07/01/2020
09:00 | 26/01/2021
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024