Theo các nhà nghiên cứu, cuộc tấn công được trang bị một “kho vũ khí” tối tân gồm nhiều dropper, backdoor và các công cụ khác bao gồm backdoor Chinoxy, PcShare RAT và FunnyDream…
Một điều đáng lưu ý là chiến dịch FunnyDream trước đây từng có liên quan đến các tổ chức chính phủ cấp cao tại Malaysia, Đài Loan và Philippines, cùng phần lớn nạn nhân ở Việt Nam.
Không chỉ sử dụng 200 thiết bị tham gia chiến dịch tấn công, hacker có thể đã xâm nhập vào trình điều khiển tên miền của nạn nhân, cho phép chúng di chuyển trong toàn hệ thống và có khả năng giành quyền kiểm soát các hệ thống khác. Nghiên cứu gần như không chỉ ra được manh mối về cách thức lây nhiễm, mặc dù có giả thuyết hacker đã sử dụng kỹ thuật lừa đảo để lừa người dùng mở các tệp tin độc hại.
Sau bước đầu xâm nhập vào hệ thống mục tiêu, hacker bắt đầu triển khai hàng loạt các công cụ bao gồm backdoor Chinoxy và trojan PcShare của Trung Quốc.
Ngoài các tiện ích dòng lệnh như tasklist.exe, ipconfig.exe, systeminfo.exe và netstat để thu thập thông tin hệ thống, một số tiện ích khác bao gồm ccf32, FilePak, FilePakMonitor, ScreenCap, Keyrecord và TcpBridge được cài đặt để thu thập tệp, chụp ảnh màn hình, ghi nhật ký tổ hợp phím và chuyển thông tin thu thập được đến máy chủ do hacker kiểm soát.
Đáng lưu ý, Backdoor FunnyDream được sử dụng để thu thập dữ liệu người dùng, xóa dấu vết triển khai phần mềm độc hại, cản trở việc phát hiện của các giải pháp bảo mật. Thông tin thu thập sẽ được gửi đến các máy chủ C&C tại Hồng Kông, Trung Quốc, Hàn Quốc và Việt Nam.
M.H
16:00 | 26/10/2020
16:00 | 11/12/2020
11:00 | 25/02/2021
15:00 | 04/05/2020
14:00 | 07/01/2020
09:00 | 26/01/2021
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024