Các tin tặc này được cho là có nguồn gốc từ Triều Tiên và đã thực hiện những cuộc tấn công mạng nhằm vào các cửa hàng trực tuyến, trang web thương mại điện từ tháng 5/2019 cho đến nay.
Một trong những “nạn nhân” lớn của các tin tặc mà SanSec phát hiện ra đó là Claire - chuỗi cửa hàng bán lẻ phụ kiện và trang sức của Mỹ. SanSec cho biết hệ thống của Claire đã bị hacker tấn công và xâm nhập vào ngày 4/6/2020.
Theo SanSec, hình thức thức tấn công mà các tin tặc sử dụng có tên gọi “Magecart”. Mặc dù, cách tấn công có bản chất đơn giản nhưng đòi hỏi kỹ năng cao từ phía các tin tặc để thực thi. Mục tiêu tấn công của các tin tặc là chiếm quyền kiểm soát máy chủ của các cửa hàng trực tuyến, các widget bên thứ 3 được cài đặt trên trang web… để có thể cài đặt và thực thi mã độc trên giao diện của trang web.
Các mã độc chỉ được kích hoạt trên giao diện thanh toán của trang web và sẽ âm thầm lưu lại các thông tin chi tiết về tài khoản thanh toán của người dùng khi họ khai báo thông tin thanh toán. Các dữ liệu này sau đó được gửi cho máy chủ bên ngoài do tin tặc kiểm soát. Các dữ liệu bị đánh cắp sẽ được sử dụng để mua sắm trên mạng hoặc bán trên thị trường chợ đen.
Hình thức tấn công “Magecart” thường đòi hỏi tin tặc phải duy trì hoạt động của một cơ sở hạ tầng lớn để lưu trữ mã độc hoặc để thu thập dữ liệu. SanSec cho biết đã phát hiện ra bằng chứng cho thấy cơ sở hạ tầng mà tin tặc sử dụng trong những vụ tấn công “Magecart” gần đây từng được các tin tặc tại Triều Tiên sử dụng trong những vụ tấn công mạng trước đó.
Willem de Groot, nhà sáng lập của SanSec khẳng định có bằng chứng cho thấy nhóm tin tặc với tên gọi Hidden Cobra, có nguồn gốc từ Triều Tiên là thủ phạm đứng đằng sau những vụ tấn công mạng nhằm vào các trang thương mại điện tử trong thời gian gần đây.
“Cách thức để Hidden Cobra chiếm quyền truy cập hệ thống máy chủ là chưa được rõ, nhưng các tin tặc thường sử dụng các email lừa đảo nhằm vào quản lý các cửa hàng để lấy cắp mật khẩu”, Willem de Groot cho biết.
Trước đó, nhiều nhóm tin tặc được cho là đến từ Triều Tiên cũng bị cáo buộc là thủ phạm tấn công vào hệ thống mạng của nhiều ngân hàng trên toàn cầu để lấy cắp tiền và thực hiện các vụ lừa đảo.
Nhiều chuyên gia bảo mật cũng đã cáo buộc tin tặc Triều Tiên là tác giả của loại mã độc tống tiền WannaCry từng khiến cả thế giới phải “điên đầu”, tuy nhiên, đến nay vẫn chưa có bằng chứng cụ thể nào để chứng minh cho điều này.
Tuệ Minh
08:00 | 25/06/2020
16:00 | 21/08/2020
22:00 | 15/08/2022
07:00 | 23/06/2020
11:00 | 22/05/2020
13:00 | 09/03/2021
08:00 | 15/04/2020
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
10:00 | 06/12/2023
Các cơ quan chính phủ ở Trung Đông hiện đang là mục tiêu của các chiến dịch tấn công lừa đảo mới được nhóm tin tặc TA402 triển khai để phân phối phần mềm độc hại có tên là IronWind. Bài viết này sẽ làm rõ các chiến dịch tấn công này dựa trên những phát hiện mới đây của công ty an ninh mạng Proofpoint (Mỹ).
14:00 | 30/11/2023
Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
