Quy trình xâm nhập của chiến dịch Jacana
Theo các nhà nghiên cứu, chiến dịch Jacana bắt đầu bằng một chiến dịch lừa đảo trực tuyến nhắm vào cơ quan chính phủ Guyana. Những kẻ tấn công đã gửi những email được soạn thảo chi tiết với dòng chủ đề liên quan đến các vấn đề công cộng của Guyana, điều này cho thấy rằng chúng đang theo dõi chặt chẽ tình hình chính trị ở quốc gia này.
Các email lừa đảo có chứa một liên kết mà khi nạn nhân nhấp vào sẽ tự động tải xuống tệp ZIP từ “https://fta.moit.gov[.]vn/file/people.zip”. Vì tên miền kết thúc bằng gov.vn biểu thị một trang web của Chính phủ Việt Nam nên các nhà nghiên cứu tin rằng những kẻ tấn công có thể xâm nhập vào một thực thể chính phủ khác và sử dụng nó để lưu trữ các mẫu phần mềm độc hại của chúng. Sau khi nạn nhân giải nén tệp ZIP (không có mật khẩu) và khởi chạy tệp thực thi có trong đó, phần mềm độc hại DinodasRAT sẽ hoạt động và bắt đầu tiến hành xâm nhập.
Các nhà nghiên cứu của ESET xác định rằng công cụ cốt lõi được những kẻ đe dọa sử dụng trong chiến dịch Jacana là một cửa hậu được viết bằng C++ không có giấy tờ trước đây và phần mềm độc hại được sử dụng có tên là DinodasRAT. Trojan truy cập từ xa này có nhiều khả năng bao gồm: lọc tệp, thao tác đăng ký Windows, thực thi lệnh CMD,... DinodasRAT sử dụng Thuật toán mã hóa nhỏ (TEA) để mã hóa thông tin trước khi nó gửi đến máy chủ C&C. Mã hóa này bổ sung thêm một lớp che giấu cho các hoạt động độc hại, khiến việc phát hiện và phân tích trở nên khó khăn hơn.
Sau khi có được quyền truy cập ban đầu thông qua việc lừa nạn nhân nhấp vào liên kết có trong email lừa đảo, những kẻ tấn công tiếp tục di chuyển ngang trong mạng nội bộ của nạn nhân. Họ đã sử dụng các công cụ như Impacket, một công cụ di chuyển ngang dựa trên WMI, để thực thi các lệnh khác nhau trên mạng.
Để giao tiếp với máy chủ C&C, DinodasRAT sử dụng thư viện Winsock để tạo một socket, chủ yếu sử dụng giao thức TCP nhưng cũng có khả năng chuyển sang UDP. Phần mềm độc hại tạo ra nhiều luồng cho các tác vụ khác nhau, đảm bảo liên lạc được đồng bộ hóa với máy chủ C&C. DinodasRAT được trang bị một loạt lệnh để thực thi các hành động trên máy của nạn nhân hoặc trên chính phần mềm độc hại. Các lệnh này bao gồm liệt kê nội dung thư mục, xóa tệp, sửa đổi thuộc tính tệp, gửi tệp đến máy chủ C&C,... Cửa hậu cho phép kẻ tấn công thực hiện nhiều hành động khác nhau, cung cấp cho chúng quyền kiểm soát rộng rãi đối với hệ thống bị xâm nhập.
Các nhà nghiên cứu từ công ty an ninh mạng Slovakia đưa ra một giả thuyết rằng cuộc tấn công này có mối liên hệ với tin tặc Trung Quốc. Những kẻ tấn công triển khai cửa hậu DinodasRAT, cùng với các công cụ tấn công độc hại trong số đó có một biến thể của Korplug (còn gọi là PlugX), đây một loại trojan phổ biến đối với các nhóm hacker Trung Quốc. Tuy giả thuyết chỉ được đưa ra với độ tin cậy ở mức trung bình, nhưng những diễn biến căng thẳng gần đây trong quan hệ ngoại giao giữa Guyana và Trung Quốc càng củng cố thêm niềm tin vào giả thuyết này.
Đình Đại
(Theo welivesecurity.com)
23:00 | 28/09/2023
13:00 | 17/01/2024
17:00 | 11/08/2023
10:00 | 07/04/2023
10:00 | 05/10/2023
14:00 | 10/05/2024
Một lỗ hổng bảo mật mới được phát hiện trong ngôn ngữ lập trình R, có thể bị kẻ tấn công khai thác để tạo tệp RDS (R Data Serialization) độc hại dẫn đến việc thực thi mã tùy ý khi được tải và tham chiếu.
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024