Các chuyên gia cho rằng, nhóm tin tặc IndigoZebra phải chịu trách nhiệm cho các cuộc tấn công mạng này. Theo ghi nhận của Kaspersky, các cuộc tấn công mạng sử dụng tiếng Trung này đã từng nhắm mục tiêu vào các nước Cộng hòa thuộc Liên Xô cũ.
Các mẫu email được giả mạo được gửi từ Văn phòng Tổng thống với yêu cầu xem xét khẩn cấp các sửa đổi đối với tài liệu liên quan đến cuộc họp báo sắp tới. Những email này được gửi từ hộp thư email bị xâm nhập của những nạn nhân nổi tiếng trong quá khứ, bao gồm một kho lưu trữ .RAR được bảo vệ bằng mật khẩu có tên NSC Press conference.rar. Nếu nạn nhân mở tệp, họ sẽ nhận được tệp thực thi Windows (NSC Press conference.exe), tệp này sẽ âm thầm triển khai phần mềm độc hại và backdoor "xCaon", duy trì xâm nhập bằng cách đặt khóa đăng ký.
Email lừa đảo giả danh Văn phòng Tổng thống Afghanisan
Backdoor có thể được tải xuống và tải lên các tệp, chạy các lệnh thông qua máy chủ điều khiển và kiểm soát (C2) và đánh cắp dữ liệu.
Dropbox đang bị lạm dụng như một dạng máy chủ C2 trong phiên bản mới nhất của backdoor này, được gọi là "BoxCaon".
Các nạn nhân sẽ được gán một thư mục đã được cấu hình sẵn, được đặt tên theo địa chỉ MAC của nạn nhân, chứa các hướng dẫn về phần mềm độc hại và hoạt động như một kho lưu trữ các dữ liệu bị lọc.
Các chuyên gia Check Point cho biết: "Tin tặc đã sử dụng API Dropbox để che giấu các hoạt động độc hại của chúng vì không thấy có các thông tin liên lạc bất thường nào đến các trang web".
IndigoZebra sẽ triển khai công cụ quét NetBIOS đã từng được nhóm tin tặc khác của Trung Quốc (APT10/Stone Panda) áp dụng và có thể thực thi các công cụ tiện ích mạng để tìm kiếm các mục tiêu mới.
Phần mềm độc hại được nhóm tin tặc sử dụng bao gồm Meterpreter, Poison Ivy, xDown và backdoor xCaon.
Các chuyên gia cho rằng nhóm tin tặc IndigoZebra có khả năng phải chịu trách nhiệm cho các cuộc tấn công từ năm 2014 nhắm mục tiêu vào Kyrgyzstan và Uzbekistan.
Các nhà nghiên cứu nhận xét rằng: "Mặc dù ban đầu chúng tôi quan sát thấy IndigoZebra nhắm mục tiêu tấn công vào Uzbekistan và Kyrgyzstan, nhưng giờ đây, đã có nhiều minh chứng cho thấy chiến dịch tấn công của nó đã mở rộng sang các mục tiêu mới trong khu vực, với một bộ công cụ mới".
Trần Thanh Tùng
13:00 | 28/05/2021
11:00 | 02/08/2021
10:00 | 16/05/2021
16:00 | 19/07/2021
07:00 | 24/05/2021
14:00 | 14/12/2021
13:00 | 27/04/2022
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024