Tin tặc Trung Quốc sử dụng backdoor mới tấn công các tổ chức quân sự

10:00 | 16/05/2021 | HACKER / MALWARE

Công ty an ninh mạng Bitdefender vừa công bố một nghiên cứu mới về chiến dịch gián điệp mạng trên diện rộng nhắm vào các tổ chức quân sự tại Đông Nam Á trong gần 2 năm qua, được cho là có liên quan tới tin tặc Trung Quốc.

Tin tặc Trung Quốc sử dụng backdoor mới tấn công các tổ chức quân sự

Nhóm tin tặc đứng sau chiến dịch này có tên Naikon APT. Chúng sử dụng các kỹ thuật và quy trình được thay đổi liên tục, đồng thời triển khai các backdoor mới có tên Nebulae và RainyDay để đánh để đánh cắp dữ liệu. Các hành vi của nhóm tin tặc này được thực hiện từ giữa tháng 06/2019 đến tháng 03/2021.

Tại giai đoạn đầu, Naikon APT đã sử dụng backdoor Aria-Body và Nebulae. Bắt đầu từ tháng 9/2020, nhóm này đưa backdoor RainyDay vào bộ công cụ, với mục đích gián điệp mạng và đánh cắp dữ liệu.

Trước đó, Naikon APT (hay còn gọi là Override Panda, Lotus Panda hoặc Hellsing) đã bị phát hiện nhắm mục tiêu vào các tổ chức chính phủ ở khu vực Châu Á - Thái Bình Dương (APAC) để tìm kiếm thông tin tình báo địa chính trị.

Ban đầu, Naikon được cho là đã vượt qua được hệ thống giám sát khi bị phát hiện lần đầu vào năm 2015, thì các bằng chứng xuất hiện vào cuối tháng 5/2020 lại cho thấy chúng đã sử dụng một backdoor mới có tên Aria-Body để lén lút đột nhập vào mạng lưới và lợi dụng cơ sở hạ tầng bị xâm nhập làm máy chủ C&C, nhằm phát động các cuộc tấn công nhắm vào các tổ chức khác.

Các cuộc tấn công mới được Bitdefender phát hiện sử dụng RainyDay làm backdoor chính. Tin tặc sử dụng nó để tiến hành do thám, phát tán mã độc, mở rộng phạm vi lây nhiễm trong mạng và trích xuất thông tin nhạy cảm. Cửa hậu này được thực thi bằng kỹ thuật DLL side-loading, một phương pháp được cho là thành công để nạp các DLL độc hại nhằm đánh cắp luồng thực thi của một chương trình hợp pháp như Outlook Item Finder.

Mã độc cũng được cài cắm một backdoor thứ 2 là Nebulae để thu thập thông tin hệ thống, thực hiện thao tác các tệp tin cũng như tải xuống và tải lên các tệp tùy ý thông qua máy chủ C&C với mục đích sao lưu.

Các công cụ khác được triển khai bởi cửa hậu RainyDay bao gồm: trình thu thập tệp tin, lựa chọn các file đã bị thay đổi gần đây có extension cụ thể và tải chúng lên Dropbox, một trình thu thập thông tin đăng nhập và nhiều tiện ích mạng khác như công cụ quét NetBIOS và proxy.

Ngoài ra, Bitdefender cho biết RainyDay có những điểm tương đồng với backdoor Foundcore, được Kaspersky phát hiện đầu tháng 4/2021 khi cùng sử dụng kỹ thuật DLL side-loading để thực thi. Foundcore được cho là do nhóm tin tặc Cycldek sử dụng trong chiến dịch gián điệp mạng nhắm trực tiếp vào các tổ chức chính phủ và quân đội tại Việt Nam.

M.H

(tổng hợp)

‹ › ×

Tin liên quan

Trung Quốc kiểm soát việc sử dụng công nghệ nhận diện khuôn mặt

08:00 | 10/05/2021

Trung Quốc đã công bố dự thảo tiêu chuẩn quốc gia về bảo vệ dữ liệu sinh trắc học trong việc sử dụng công nghệ nhận dạng khuôn mặt. Tiêu chuẩn được đệ trình để lấy ý kiến công chúng, chỉ rõ các công ty phải có sự đồng ý rõ ràng từ đối tượng để thu nhận và sử dụng dữ liệu sinh trắc học. Đây là tài liệu toàn diện đầu tiên quy định việc sử dụng công nghệ nhận dạng khuôn mặt ở Trung Quốc.

Tin tặc Trung Quốc giả danh tổng thống Afghanistan tấn công vào các cơ quan chính phủ

10:00 | 12/07/2021

Ngày 01/7/2021, Check Point Research cho biết Văn phòng Tổng thống Afghanistan, đại diện cho Tổng thống Ashraf Ghani đã bị một nhóm tin tặc Trung Quốc sử dụng để thu hút các email lừa đảo được thiết kế để xâm nhập vào các cơ quan chính phủ ở nước này.

Gián điệp mạng của Trung Quốc nhắm mục tiêu vào các công ty viễn thông ở Mỹ, châu Á, châu Âu

08:00 | 05/04/2021

Theo cảnh báo từ các nhà nghiên cứu bảo mật tại McAfee, nhóm gián điệp mạng có liên hệ với Trung Quốc tên là Mustang Panda đang nhắm mục tiêu vào các công ty viễn thông ở châu Á, châu Âu và Hoa Kỳ cho mục đích gián điệp.

Phân tích cuộc tấn công chuỗi cung ứng để cài đặt backdoor nhắm vào các hệ thống Linux

13:00 | 20/09/2023

Trong vài năm qua, các máy chủ Linux đã ngày càng trở thành mục tiêu nổi bật của các tác nhân đe dọa. Mới đây, Kaspersky đã tiết lộ một chiến dịch độc hại trong đó một trình cài đặt phần mềm có tên “Free Download Manager” được các tin tặc sử dụng để cài đặt backdoor trên các máy chủ Linux kéo dài trong suốt 3 năm qua. Các nhà nghiên cứu phát hiện ra rằng nạn nhân đã bị lây nhiễm khi họ tải xuống phần mềm từ trang web chính thức, cho thấy đây có thể là một cuộc tấn công chuỗi cung ứng. Các biến thể của phần mềm độc hại được sử dụng trong chiến dịch này lần đầu tiên được xác định vào năm 2013.

Tin cùng chuyên mục

Dịch vụ lừa đảo nhắm vào người dùng iPhone thông qua iMessage

10:00 | 29/03/2024

Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.

Các tài khoản chính phủ và doanh nghiệp trên X bị tin tặc chiếm đoạt nhằm mục tiêu lừa đảo tiền điện tử

07:00 | 17/01/2024

Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.

Khám phá các kỹ thuật chống phân tích mới của phần mềm độc hại GuLoader

09:00 | 25/12/2023

Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.

Phân tích phần mềm độc hại RisePro: Khám phá giao tiếp C2 trong phiên bản mới

13:00 | 14/12/2023

RisePro là một phần mềm độc hại đánh cắp thông tin dưới dạng dịch vụ, được xác định lần đầu tiên vào năm 2022. Gần đây, các nhà nghiên cứu của Anyrun nhận thấy hoạt động của phần mềm độc hại này tăng đột biến, đồng thời thay đổi cách giao tiếp với máy chủ điều khiển và kiểm soát (C2), cũng như trang bị những khả năng mới, đặc biệt là các tính năng điều khiển từ xa khiến nó có khả năng hoạt động như một RAT (Remote Access Trojan).