Nhóm tin tặc này được các nhà nghiên cứu Symantec đặt tên là Sowbug. Nhóm tin tặc đã bí mật tấn công các tổ chức chính sách ngoại giao, cơ quan chính phủ và các cơ sở ngoại giao ở nhiều nước, trong đó có Argentina, Brazil, Ecuador, Peru và Malaysia.
Symantec phát hiện nhóm Sowbug dùng mã độc có tên là Felismus để tấn công và xâm nhập các tổ chức. Được tìm ra lần đầu vào cuối tháng 3/2017, Felismus là một loại Trojan cho phép truy cập từ xa (RAT) tinh vi, có cấu trúc môđun hoá, nên có thể ẩn náu và mở rộng các tính năng.
Mã độc này cho phép kẻ xấu chiếm quyền kiểm soát toàn bộ hệ thống bị lây nhiễm và cũng giống như các loại RAT khác, nó cho phép kẻ xấu liên lạc với máy chủ ở xa, tải xuống và thực thi các lệnh.
Khi phân tích Felismus, các nhà nghiên cứu biết được dấu tích các chiến dịch tấn công trước đó với nhóm Sowbug, điều đó cho thấy, nhóm này đã hoạt động từ khoảng đầu năm 2015 và thậm chí là trước đó.
Báo cáo của Symantec cho biết, Sowbug dường như tập trung vào các cơ quan chính phủ ở Nam Mỹ và Đông Nam Á. Nhóm này có nguồn lực tốt, có khả năng xâm nhập đồng thời nhiều mục tiêu và thường hoạt động ngoài giờ làm việc của các mục tiêu.
Tuy vẫn chưa rõ nhóm Sowbug đã làm thế nào để xâm nhập mạng máy tính của các tổ chức, nhưng qua các bằng chứng thu thập được, các nhà nghiên cứu suy đoán rằng, tin tặc đã sử dụng các bản vá giả của Windows hay Adobe Reader. Các nhà nghiên cứu cũng phát hiện nhóm tin tặc này sử dụng công cụ có tên là Starloader để triển khai mã độc và các công cụ bổ sung như phần mềm thu thập thông tin đăng nhập và keylogger tới mạng của các nạn nhân.
Các nhà nghiên cứu đã tìm thấy bằng chứng các tệp Starloader được phát tán như bản cập nhật phần mềm với những cái tên như AdobeUpdate.exe, AcrobatUpdate.exe, INTELUPDATE.EXE,… Thay vì lây nhiễm vào các phần mềm, Sowbug đặt tên các công cụ của nhóm gần giống với các phần mềm hợp pháp và đặt các công cụ đó vào các thư mục có tên tương tự để đánh lừa người dùng. Mẹo này giúp tin tặc che giấu mã độc và khiến người dùng không nghi ngờ gì.
Nhóm Sowbug đã áp dụng nhiều biện pháp để tránh bị phát hiện như thực hiện các hoạt động gián điệp ngoài giờ hành chính. Trong một trường hợp, nhóm tin tặc đã ẩn mình và không bị phát hiện trong mạng của nạn nhân tới 6 tháng (từ tháng 9/2016 tới tháng 3/2017).
Ngoài thông tin về việc phân phối mã độc Felismus, danh tính của những tin tặc trong nhóm Sowbug vẫn chưa được tìm ra.
(theo The Hacker News)
08:00 | 19/10/2017
09:00 | 25/02/2022
08:08 | 13/07/2017
15:46 | 22/02/2016
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024