Tin tặc đã dựa vào việc sử dụng trojan truy cập từ xa để tiến hành các hoạt động gián điệp mạng, qua hình thức gửi email độc hại. Trong hầu hết các trường hợp, những email này có đính kèm tài liệu PDF chứa liên kết mà người dùng cần phải nhấp vào. Các tệp đã tải xuống là các tệp lưu trữ RAR thông thường và có tệp thực thi bên trong. Các tệp này được lưu trữ trong các dịch vụ lưu trữ tệp hợp pháp như OneDrive hoặc MediaFire. Nội dung của email lừa đảo có thể chỉ là thông báo để thực hiện bài test COVID-19, mời dự họp phiên tòa, thông báo nộp phạt giao thông hoặc liên quan đến việc đóng băng tài khoản ngân hàng của người dùng.
Payload được sử dụng trong Chiến dịch Spalax là trojan truy cập từ xa, cung cấp một số khả năng không chỉ để điều khiển từ xa mà còn để theo dõi các hoạt động của người dùng như: ghi lại thao tác bàn phím, chụp ảnh màn hình, chiếm quyền điều khiển clipboard, truy cập tệp, có khả năng tải xuống và thực thi phần mềm độc hại khác.
“ESET đã quan sát thấy có ít nhất 24 địa chỉ IP khác nhau được sử dụng trong khoảng thời gian nửa cuối năm 2020. Đây có thể là những thiết bị bị xâm nhập hoạt động như proxy cho các máy chủ C&C. Cùng với việc sử dụng các dịch vụ DNS động, cơ sở hạ tầng của chúng luôn bất động", Matías Porolli, một nhà nghiên cứu của ESET đã điều tra Chiến dịch Spalax cho biết.
Các nhà nghiên cứu cũng tìm ra ít nhất 70 tên miền hoạt động vào nửa cuối năm 2020 và chiến dịch thường xuyên đăng ký tên miền mới.
Các cuộc tấn công bằng phần mềm độc hại nhắm mục tiêu tại Colombia đã được mở rộng kể từ năm 2019. Cho tới nay đã có sự thay đổi từ một chiến dịch với một số ít máy chủ C&C và tên miền thành một chiến dịch có cơ sở hạ tầng rất lớn và thay đổi nhanh chóng với hàng trăm tên miền được sử dụng.
Nguyễn Chân
(theo Security Magazine)
16:00 | 11/12/2020
10:00 | 11/05/2020
09:00 | 02/12/2020
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024