Các chuyên gia Cybereason Nocturnus đã phát hiện ra các mẫu mã độc thuộc bộ công cụ RoyalRoad mới hiện đang được sử dụng trong các cuộc tấn công mạng. Một trong những mẫu mã độc mới này đã làm cho các chuyên gia của Cybereason Nocturnus đặc biệt chú ý, nó sử dụng cửa hậu PortDoor (một loại cửa hậu mới, chưa từng xuất hiện trước đây) ở máy nạn nhân.
Sau khi phân tích và đánh giá mẫu phần mềm độc hại chi tiết hơn, các chuyên gia Cybereason Nocturnus kết luận rằng, việc khai thác và sử dụng bộ công cụ RoyalRoad (8.t Dropper/RTF) với mẫu mới PortDoor đang được các nhóm APT sử dụng theo lợi ích của chính phủ Trung Quốc.
Một trong những mục tiêu được các nhóm APT nhắm đến đó là Trung tâm Thiết kế về Kỹ thuật Hàng hải mang tên Rubin. Đây là một trong những doanh nghiệp lớn của Nga tham gia thiết kế tàu ngầm. Kể từ năm 1938, Trung tâm Thiết kế về Kỹ thuật Hàng hải Rubin đã phối hợp chặt chẽ với lực lượng hải quân Nga. Do vậy, Trung tâm trở thành mục tiêu quan trọng đối với tội phạm mạng liên quan đến chính phủ của các nước.
Trong giai đoạn đầu của cuộc tấn công, các nhóm APT của Trung Quốc sử dụng kỹ thuật Spear Phishing, qua hình thức gửi thư điện tử có chứa mã độc đến ông Igor Vladimirovich Vilnit - Tổng giám đốc của Trung tâm Thiết kế về Kỹ thuật Hàng hải Rubin
Nội dung thư điện tử sử dụng kỹ thuật Spear Phishing
Mã độc nằm trong tệp đính kèm với định dạng RTF, được xây dựng theo bộ công cụ RoyalRoad. Sau khi người dùng tải xuống và mở tệp RTF, một tài liệu Microsoft Word được tạo ra và mở trên máy tính của nạn nhân, khiến cho người dùng không phát hiện rằng mình đang mở và kích hoạt một tệp có chứa phần mềm độc hại.
Nội dung một tệp tin dưới định dạng word
Sau đó, một cửa hậu chưa được biết đến trước đây có tên là winlog.wll được tạo và hoạt động trên máy tính của nạn nhân, cửa hậu này có những tính năng chính sau:
Trong nhiều năm, Royal Road là công cụ được một số nhóm APT Trung Quốc sử dụng thường xuyên (Goblin Panda, Rancor Group, TA428, Tick và Tonto Team). Các nhóm APT này đã sử dụng nó trong các cuộc tấn công lừa đảo có chủ đích từ cuối năm 2018, thông qua việc khai thác các lỗ hổng trong Microsoft Equation Editor (CVE-2017-11882, CVE-2018-0798, CVE-2018-0802) và sử dụng các tài liệu RTF độc hại để phát tán các mềm độc hại xâm nhập vào hệ thống của nạn nhân mà không bị phát hiện.
Nam Trần (theo Anti-malware)
09:00 | 20/08/2020
10:00 | 12/07/2021
14:00 | 24/03/2021
11:00 | 02/08/2021
19:00 | 30/04/2024
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024