Công ty an ninh mạng Volexity (Hoa Kỳ) đã phát hiện phần mềm độc hại này đến từ một nhóm tin tặc có tên gọi là SharpTongue, nhóm này được cho là có nhiều điểm tương đồng với một nhóm gián điệp mạng có trụ sở tại Triều Tiên được gọi công khai dưới cái tên Kimsuky.
Lịch sử hoạt động của SharpTongue gồm các tin tặc làm việc cho các tổ chức ở Hoa Kỳ, châu Âu và Hàn Quốc về các chủ đề liên quan đến Triều Tiên, các vấn đề hạt nhân, hệ thống vũ khí và các vấn đề chiến lược khác mà Triều Tiên quan tâm.
Việc SharpTongue sử dụng các tiện ích mở rộng (plugin) giả mạo trong các cuộc tấn công không phải là điều mới. Vào năm 2018, một tin tặc đã bị phát hiện sử dụng một plugin của Chrome như một phần của chiến dịch có tên Stolen Pencil để lây nhiễm cho nạn nhân và đánh cắp cookie và mật khẩu của trình duyệt.
Điểm khác biệt ở chiến dịch này là plugin có tên Sharpext nhắm mục tiêu đánh cắp dữ liệu email. Các nhà nghiên cứu của Volexity cho biết: "Phần mềm độc hại trực tiếp kiểm tra và lấy dữ liệu từ tài khoản email của nạn nhân khi họ sử dụng trình duyệt".
Hình 1. Quy trình tấn công plugin Sharpext
Các trình duyệt được nhắm mục tiêu bao gồm trình duyệt Google Chrome, Microsoft Edge và Naver's Whale với phần mềm độc hại đánh cắp email được thiết kế để thu thập thông tin từ các phiên Gmail và AOL.
Việc cài đặt tiện ích bổ sung được thực hiện bằng cách thay thế các tệp tùy chọn và tùy chọn bảo mật của trình duyệt bằng các tệp nhận được từ máy chủ điều khiển từ xa.
Hình 2. Mã nguồn sử dụng để tải xuống và cài đặt plugin độc hại
Hình 3. Mã nguồn xác định các yêu cầu có liên quan
Nhóm tin tặc SharpTongue khai thác thành công bằng cách bật bảng DevTools trong tab đang hoạt động, để lấy cắp email và tệp đính kèm từ hộp thư của người dùng, đồng thời thực hiện các bước để ẩn bất kỳ thông báo nào về việc chạy tiện ích mở rộng chế độ nhà phát triển.
Volexity đã mô tả chiến dịch là khá thành công, với lý do tin tặc có khả năng đánh cắp hàng nghìn email từ nhiều nạn nhân thông qua việc triển khai plugin độc hại.
Các nhà nghiên cứu cho biết: “Đây là lần đầu tiên Volexity quan sát thấy các plugin độc hại trên trình duyệt được sử dụng như một phần của giai đoạn hậu khai thác. Bằng cách đánh cắp dữ liệu email trong bối cảnh phiên đã đăng nhập của người dùng. Do đó, cuộc tấn công được ẩn khỏi nhà cung cấp email, khiến việc phát hiện trở nên rất khó khăn".
Các phát hiện được đưa ra vài tháng sau khi các tin tặc của nhóm Kimsuky có liên quan đến các cuộc xâm nhập chống lại các tổ chức chính trị ở Nga và Hàn Quốc để cung cấp phiên bản cập nhật của trojan truy cập từ xa được gọi là Konni.
Trước đó vào trung tuần tháng 7/2022, công ty an ninh mạng Securonix (Hoa Kỳ) đã cung cấp thông tin chi tiết của một loạt các cuộc tấn công đang diễn ra nhằm khai thác các mục tiêu có giá trị cao, nhắm vào Cộng hòa Séc, Ba Lan và các quốc gia khác như một phần của chiến dịch có tên mã STIFF # BIZON nhằm phát tán phần mềm độc hại Konni.
Mặc dù, chiến thuật và công cụ được sử dụng trong các cuộc tấn công chỉ ra mối liên hệ với một nhóm tin tặc của Triều Tiên có tên APT37, nhưng bằng chứng thu thập được liên quan đến cơ sở hạ tầng tấn công cho thấy có sự tham gia của nhóm tin tặc APT28 (hay còn gọi là Fancy Bear hoặc Sofacy) liên quan đến Nga.
Các nhà nghiên cứu cho biết: “Điều làm cho cuộc tấn công này trở nên thú vị là việc sử dụng phần mềm độc hại Konni kết hợp với các điểm tương đồng về phương thức hoạt động với APT28. Tuy nhiên, không loại trừ khả năng việc một nhóm tin tặc giả mạo để gây nhầm lẫn giữa việc phân bổ khu vực hoạt động và ẩn danh".
Nguyệt Thu
(theo thehackernews)
17:00 | 23/07/2020
14:00 | 14/12/2022
11:45 | 23/12/2014
14:00 | 21/11/2022
12:00 | 25/08/2022
10:00 | 03/10/2022
16:00 | 03/08/2023
10:00 | 19/09/2022
12:00 | 25/10/2023
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024
