Được biết đến với các tên gọi như APT27, Bronze Union, Emissary Panda, Lucky Mouse và TG-3390 (Threat Group 3390), Iron Tiger đã hoạt động từ năm 2010, nhắm mục tiêu hàng trăm tổ chức trên toàn thế giới với mục đích gián điệp mạng.
Là một phần của các cuộc tấn công gần đây, nhóm tin tặc thực hiện tấn công có chủ đích (APT) và lạm dụng các máy chủ bị xâm phạm của ứng dụng nhắn tin MiMi có sẵn trên Windows, macOS, Android và iOS. Để phát tán phần mềm độc hại. Phiên bản máy tính để bàn của ứng dụng được xây dựng bằng cách sử dụng khung đa nền tảng ElectronJS. Iron Tiger đã xâm nhập máy chủ lưu trữ các trình cài đặt hợp pháp của ứng dụng trò chuyện này để tiến hành tấn công chuỗi cung ứng. Mã độc sẽ triển khai macOS backdoor "rshell" để thu thập thông tin hệ thống, nhận các lệnh từ máy chủ ra lệnh và kiểm soát (C2) và gửi kết quả tới máy chủ này. Backdoor này có thể mở hoặc đóng một shell, thực hiện các lệnh shell, liệt kê các thư mục, đọc tệp, ghi vào tệp, đóng tệp, chuẩn bị tệp để tải xuống và tải lên hoặc xóa tệp.
Các nhà nghiên cứu đã phát hiện ra nhiều mẫu rshell, trong đó có một số mẫu nhắm mục tiêu đến Linux. Mẫu cũ nhất được tải lên vào tháng 6/2021. Các chuyên gia cũng tìm thấy bằng chứng cho thấy Iron Tiger đã giành quyền truy cập vào máy chủ chứa trình cài đặt MiMi vào khoảng tháng 11/2021, khi tin tặc sửa đổi trình cài đặt Windows. Tuy nhiên, trình cài đặt macOS đã được sửa đổi vào tháng 5/2022.
Cùng với đó, tin tặc đã tận dụng quyền truy cập vào máy chủ MiMi để sửa đổi trình cài đặt một cách nhanh chóng ngay sau khi các nhà phát triển phát hành phiên bản ứng dụng mới.
Mặc dù trình cài đặt MiMi có chứa mã độc không có chữ ký hợp pháp và cần bỏ qua nhiều cảnh báo bảo mật từ hệ thống để cài đặt nhưng người dùng thường bỏ qua nó.
Trình cài đặt chứa mã độc dành cho hệ điều hành Windows sẽ tải backdoor HyperBro xuống hệ thống của nạn nhân. Backdoor này có thể thu thập thông tin hệ thống, tải lên hoặc tải xuống tệp, thao tác với tệp, liệt kê nội dung của thư mục, thực thi lệnh shell, chạy ứng dụng, chụp ảnh màn hình, kết thúc tiến trình, chèn mã vào tiến trình và điều khiển các dịch vụ.
Iron Tiger dường như chỉ nhắm vào các nạn nhân ở Đài Loan và Philippines. Trong đó 5 nạn nhân bị cài đặt backdoor HyperBro và 8 nạn nhân bị cài đặt backdoor rshell. Hiện tại, một công ty phát triển game của Đài Loan là nạn nhân của nhóm tin tặc.
M.H
16:00 | 10/08/2022
15:00 | 30/08/2022
14:00 | 09/12/2022
22:00 | 15/08/2022
10:00 | 04/01/2023
15:00 | 19/01/2023
07:00 | 15/09/2022
09:00 | 13/12/2022
13:00 | 08/08/2022
14:00 | 29/09/2022
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024