Việt Nam trở thành mục tiêu chính trong cuộc tấn công bằng công cụ truy cập từ xa

17:00 | 07/04/2021 | HACKER / MALWARE

Theo một báo cáo mới nhất ngày 05/4/2021 từ hãng bảo mật Kaspersky, một chiến dịch tấn công khai thác công cụ truy cập từ xa (RAT) được thực hiện bởi một nhóm tin tặc có tên Cycldek (hay còn được gọi là Goblin Panda, APT27 và Conimes) đã nhắm mục tiêu tấn công vào Việt Nam.

Việt Nam trở thành mục tiêu chính trong cuộc tấn công bằng công cụ truy cập từ xa

Thực hiện theo dõi từ tháng 6/2020 đến tháng 1/2021, Kaspersky phát hiện 80% tổ chức bị nhắm mục tiêu có trụ sở đặt tại Việt Nam, hoạt động thuộc chính phủ, quân đội hoặc có liên quan đến y tế, ngoại giao và giáo dục.

Trong lịch sử, nhóm tin tặc Cycldek thường nhắm đến các mục tiêu thuộc chính phủ tại các nước Đông Nam Á. Phần mềm độc hại được sử dụng trong chiến dịch tấn công lần này có tên FoundCore, cho phép tin tặc toàn quyền kiểm soát các máy tính bị xâm nhập và thực hiện các thao tác hệ thống tệp dữ liệu, chụp ảnh màn hình hay thực thi các lệnh tùy ý.

Theo phân tích của Kaspersky, nhóm tin tặc Cycldek đã thực hiện một chuỗi lây nhiễm sử dụng tính năng chuyền tải thư viện liên kết động (DLL side-loading) và chạy một shellcode hoạt động như một bộ tải cho FoundCore để phân phối mã độc hại. Điều này cho phép tin tặc qua mặt các sản phẩm bảo mật và triển khai RAT để cung cấp cho chúng toàn quyền kiểm soát các máy tính. Sau khi triển khai RAT, FoundCore tiếp tục thực hiện quy trình:

Bước 1: FoundCore thiết lập tính bền bỉ bằng cách tạo ra một dịch vụ.

Bước 2: FoundCore sử dụng các thông tin không rõ ràng cho dịch vụ bằng cách thay đổi các trường Description, ImagePath và DisplayName.

Bước 3: FoundCore đặt danh sách kiểm soát truy cập tùy ý (DACL) trống cho hình ảnh được liên kết với quy trình hiện tại để ngăn truy cập vào tệp độc hại cơ bản. DACL là một danh sách nội bộ được đính kèm với một đối tượng trong Active Directory để chỉ định người dùng và nhóm nào có thể truy cập đối tượng, loại hoạt động nào họ có thể thực hiện trên đối tượng.

Cuối cùng, một bootstraps được thực thi và thiết lập kết nối với máy chủ C2. Tùy thuộc vào cấu hình, FoundCore có thể tạo một bản sao của chính nó vào một quy trình khác.

Đáng lưu ý trong chuỗi lây nhiễm, FoundCore tải xuống thêm hai phần mềm gián điệp là DropPhone (giúp thu thập thông tin môi trường từ máy nạn nhân và gửi nó đến DropBox) và CoreLoader (chạy mã giúp phần mềm độc hại tránh bị các sản phẩm bảo mật phát hiện).

Theo nhận định của chuyên gia, các nhóm tin tặc này thường có xu hướng chia sẻ chiến thuật với nhau, vì vậy sẽ có rất nhiều chiến dịch tấn công khác có lối chiến thuật tấn công tương tự. Chính vì vậy các tổ chức, doanh nghiệp, đặc biệt là các cơ quan đơn vị nhà nước cần cập nhật những thông tin mới nhất về các mối đe dọa an ninh mạng để có những biện pháp phòng ngừa kịp thời trước những cuộc tấn công mạng có thể xảy ra.

Quốc Trường

‹ › ×

Tin liên quan

Gootkit RAT sử dụng SEO để phát tán phần mềm độc hại

09:00 | 22/03/2021

Một framework khét tiếng về việc cung cấp những Trojan ngân hàng đã được nâng cấp để triển khai nhiều loại phần mềm độc hại, bao gồm cả ramsomware.

Kaspersky tham gia “Rà soát và bóc gỡ mã độc trên toàn quốc năm 2020”

14:00 | 14/10/2020

Kaspersky vừa thông báo hợp tác với chương trình “Rà soát và bóc gỡ mã độc trên toàn quốc năm 2020” của Bộ Thông tin và truyền thông (TT&TT).

Microsoft cáo buộc các tin tặc Trung Quốc đánh cắp email của khách hàng

13:00 | 09/03/2021

Ngày 02/3/2021, Microsoft đã đưa ra cáo buộc các tin tặc được cho là có nguồn gốc Trung Quốc đã tận dụng sơ hở từ phần mềm của Microsoft để đánh cắp thư điện tử của nhiều nhân vật và công ty quan trọng là khách hàng của Microsoft.

Tin cùng chuyên mục

Cảnh báo hai lỗ hổng zero-day trên các thiết bị của Cisco nhằm phát tán phần mềm độc hại

08:00 | 04/05/2024

Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.

Lỗ hổng trên DeFi trên Curve Finance được trao thưởng lên tới 250.000 USD

09:00 | 17/04/2024

Một nhà nghiên cứu bảo mật có biệt danh Marco Croc từ Kupia Security đã được thưởng 250,000 USD vì phát hiện ra một lỗ hổng mà trong lịch sử đã cho phép tin tặc rút hàng triệu USD từ các giao thức tiền điện tử. Lỗ hổng này tái xuất hiện trong giao thức tài chính phi tập trung (DeFi) Curve Finance.

Phần mềm độc hại mới GTPDOOR đánh cắp thông tin thuê bao và dữ liệu cuộc gọi

08:00 | 21/03/2024

Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).

29 họ phần mềm độc hại nhắm mục tiêu 1.800 ứng dụng ngân hàng trên toàn thế giới

14:00 | 16/01/2024

Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.