Nhóm tin tặc Gallium tấn công mạng bằng mã độc PingPull

08:00 | 23/06/2022 | HACKER / MALWARE

Nhóm tin tặc Gallium được cho là có nguồn gốc từ Trung Quốc đã sử dụng trái phép trojan truy cập từ xa (RAT) để tấn công gián điệp mạng vào các mục tiêu ở Đông Nam Á, Châu Âu và Châu Phi.

Nhóm tin tặc Gallium tấn công mạng bằng mã độc PingPull

Gallium còn có tên gọi khác là Soft Cell nổi tiếng với các cuộc tấn công nhắm mục tiêu vào các công ty viễn thông từ năm 2012. Nhóm tin tặc này được nhà nước hậu thuẫn có liên quan đến một loạt các cuộc tấn công nhắm vào 5 công ty viễn thông lớn ở Đông Nam Á kể từ năm 2017.

Tuy nhiên trong năm 2021, nhóm tin tặc này đã mở rộng phạm vi tấn công, bao gồm các tổ chức tài chính và các tổ chức chính phủ đặt tại Afghanistan, Australia, Bỉ, Campuchia, Malaysia, Mozambique, Philippines, Nga và cả Việt Nam.

Các nhà nghiên cứu cho biết PingPull là backdoor khó phát hiện vì nó sử dụng giao thức bản tin điều khiển Internet (Internet Control Message Protocol - ICMP) cho các giao tiếp lệnh và điều khiển (C&C).

PingPull dựa trên ngôn ngữ Visual C ++, giúp tin tặc có khả năng truy cập vào một reverse shell và chạy các lệnh tùy ý trên một máy chủ bị xâm nhập. Điều này bao gồm thao tác tệp, kiểm tra dung lượng lưu trữ và sửa đổi thuộc tính thời gian của tệp.

Các mẫu PingPull mà sử dụng giao thức ICMP Echo cho việc giao tiếp C&C sẽ giúp các gói truy vấn ICMP Echo (ping) kết nối được đến máy chủ C&C. Máy chủ C&C sau đó sẽ phản hồi các truy vấn Echo này bằng một gói Echo Reply để đưa ra các lệnh cho hệ thống.

Các biến thể PingPull cũng được xác định dựa trên HTTPS và TCP để giao tiếp với máy chủ C&C thay vì giao thức ICMP và hơn 170 địa chỉ IP được liên kết với nhóm tin tặc Gallium từ cuối năm 2020.

Chưa rõ các mạng lưới mục tiêu bị xâm phạm như thế nào, nhưng kẻ tấn công đã khai thác các ứng dụng có kết nối Internet để giành quyền truy cập ban đầu và triển khai phiên bản đã được sửa đổi của web shell Chopper đến từ Trung Quốc nhằm duy trì sự tồn tại trên hệ thống.

Các nhà nghiên cứu lưu ý: “Gallium vẫn là mối đe dọa nguy hiểm đối với các ngành viễn thông, tài chính và các tổ chức chính phủ Đông Nam Á, Châu Âu và Châu Phi. Mặc dù việc sử dụng giao thức ICMP không phải là một kỹ thuật mới, nhưng PingPull khiến cho việc phát hiện các kết nối giao tiếp C&C trở nên khó khăn hơn, vì rất ít tổ chức thực hiện kiểm tra lưu lượng ICMP trên mạng của họ".

Lê Phượng

‹ › ×

Tin liên quan

Albania đóng cửa hệ thống chính phủ điện tử

13:00 | 21/07/2022

Theo thông báo từ Cơ quan Thông tin Xã hội quốc gia Albania (AKSHI), các trang web của Văn phòng Thủ tướng và Quốc hội cũng như cổng e-Albaniaa đều phải đóng cửa sau khi hứng chịu cuộc tấn công mạng chưa từng có.

5 cuộc tấn công chuỗi cung ứng điển hình

15:00 | 28/07/2022

Tấn công chuỗi cung ứng phần mềm của các tổ chức đang trở thành một xu hướng ngày càng phổ biến giúp tin tặc có quyền truy cập vào các thông tin có giá trị và để lại tác động lớn. Một nghiên cứu của Gartner dự đoán rằng vào năm 2025 sẽ có 45% công ty sẽ phải trải qua một cuộc tấn công chuỗi cung ứng.

Tin tặc Nga sử dụng DropBox và Google Drive để lây nhiễm mã độc

13:00 | 02/08/2022

Nhóm tin tặc APT29 được cho là có liên quan đến Cơ quan Tình báo Đối ngoại Liên bang Nga (SVR) đã tiến hành một chiến dịch lừa đảo lợi dụng các dịch vụ đám mây hợp pháp như Google Drive và Dropbox để lây nhiễm mã độc trên các hệ thống mục tiêu.

Phương thức lây nhiễm của mã độc tống tiền LockBit

12:00 | 12/08/2022

Các nhà nghiên cứu tại Trung tâm Điều hành An ninh toàn cầu Cybereason (GSOC) vừa công bố một bản báo cáo Phân tích mối đe dọa về các cuộc tấn công. Trong đó, tập trung nghiên cứu vào sự phát triển của mã độc tống tiền LockBit với các kỹ thuật được sử dụng để lây nhiễm trên các hệ thống mục tiêu.

Luna và Black Basta: Mã độc tống tiền mới trên các hệ thống Windows, Linux và ESXi

18:00 | 16/08/2022

Hiện nay, các chiến dịch tấn công sử dụng mã độc tống tiền không chỉ nhắm mục tiêu vào hệ điều hành Windows, mà còn cả trên Linux và hệ thống ảo hóa ESXi. Các nhà nghiên cứu bảo mật của Kaspersky cho biết về sự xuất hiện gần đây của hai dòng mã độc tống tiền có khả năng mã hóa các hệ thống trên là Luna và Black Basta.

Tăng cường các giải pháp bảo mật vật lý để chống lại các cuộc tấn công mạng

14:00 | 06/06/2022

Hiện nay, việc giám sát video, kiểm soát truy cập, cảnh báo, liên lạc ngày càng phụ thuộc vào kết nối với mạng và cơ sở hạ tầng công nghệ thông tin (CNTT). Tuy nhiên, điều này lại làm gia tăng rủi ro bị tấn công mạng

Phần mềm độc hại mới DUCKTAIL chuyên xâm nhập tài khoản Facebook Business

09:00 | 23/08/2022

Các nhà nghiên cứu của WithSecure (trước đây là F-Secure có trụ sở tại Phần Lan) tuyên bố rằng họ đã tìm thấy phần mềm độc hại DUCKTAIL nhắm mục tiêu vào người dùng và tổ chức trên nền tảng Facebook Business trong một chiến dịch độc hại mới có động cơ tài chính. Đặc biệt, nhóm nghiên cứu cho rằng nhóm tin tặc gây ra cuộc tấn công này đến từ Việt Nam.

Tại sao tin tặc gia tăng sử dụng Telegram?

13:00 | 24/08/2022

Các nền tảng tin nhắn như Telegram đang cung cấp cơ hội cho tin tặc lưu trữ, phân phối và thực thi đa dạng các chức năng, để đánh cắp thông tin từ những nạn nhân mất cảnh giác. Nhưng đó không chỉ là mục tiêu duy nhất mà tin tặc đã lợi dụng Telegram cho các hoạt động xấu của chúng.

Số vụ tấn công mạng giảm nhẹ trong tháng 5/2022

10:00 | 14/06/2022

Theo Bộ Thông tin và Truyền thông, trong tháng 5, số lượng địa chỉ IP Việt Nam nằm trong các mạng botnet (mạng máy tính ma) là 745.012 địa chỉ, giảm 3,18% so với tháng 4/2022.

4 tháng đầu năm 2022: Hơn 4.600 sự cố tấn công mạng vào các hệ thống tại Việt Nam

14:00 | 20/05/2022

Tính từ đầu năm đến hết tháng 4, Cục An toàn thông tin, Bộ TT&TT đã ghi nhận, cảnh báo và hướng dẫn xử lý 4.616 cuộc tấn công mạng gây ra sự cố vào các hệ thống thông tin tại Việt Nam.

Cách thức tin tặc sử dụng các ứng dụng nhắn tin để đánh cắp dữ liệu

14:00 | 31/08/2022

Các nhà nghiên cứu tại Công ty an ninh mạng Intel 471 (Hoa Kỳ) cho biết, các tin tặc đã lợi dụng ứng dụng nhắn tin như Telegram và Discord để tiến hành khai thác một chương trình có tên gọi bot, với mục đích phát tán mã độc và đánh cắp dữ liệu nhạy cảm của người dùng.

Nhóm tin tặc TA428 sử dụng backdoor mới trong các cuộc tấn công có chủ đích

10:00 | 19/08/2022

Các nhà nghiên cứu vừa phát hiện một loạt các cuộc tấn công diễn ra đầu năm nay sử dụng phần mềm độc hại trên Windows mới để giám sát các tổ chức chính phủ trong ngành công nghiệp quốc phòng của một số quốc gia ở Đông Âu.

Tin cùng chuyên mục

Phân tích phiên bản mới của phần mềm độc hại RisePro nhắm mục tiêu vào người dùng GitHub

14:00 | 11/04/2024

RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.

Plugin GPT của bên thứ ba có thể khiến người dùng bị chiếm đoạt tài khoản

08:00 | 04/04/2024

Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.

Lỗ hổng glibc cho phép tin tặc chiếm quyền root trên các bản phân phối chính của Linux

14:00 | 19/02/2024

Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).

Phát hiện lỗ hổng nghiêm trọng trong GitLab khi tạo workspace cho phép ghi đè tệp

08:00 | 06/02/2024

GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.