Các nhà nghiên cứu bảo mật Den Luzvyk, Tim Peck và Oleg Kolesnikov của hãng bảo mật Securonix (Mỹ) cho biết: “Chiến dịch này diễn ra với hai mục đích, một là bán quyền truy cập vào máy chủ bị xâm nhập, hai là cài cắm mã độc tống tiền”, đồng thời quy kết cho các tác nhân đe dọa đến từ Thổ Nhĩ Kỳ thực hiện với tên gọi là RE#TURGENCE.
Quyền truy cập ban đầu vào máy chủ đòi hỏi phải tiến hành các cuộc tấn công brute-force, sau đó là sử dụng tùy chọn cấu hình xp_cmdshell để chạy các lệnh shell trên máy chủ bị xâm nhập. Hành động này tương tự với một chiến dịch trước đó có tên là DB#JAMMER được công bố vào tháng 9/2023.
Giai đoạn này mở đường cho việc truy xuất tập lệnh PowerShell từ một máy chủ từ xa chịu trách nhiệm tìm nạp phần mềm độc hại Cobalt Strike. Sau đó, bộ cung cụ sau khai thác được sử dụng để tải xuống ứng dụng hỗ trợ máy tính từ xa AnyDesk từ một mạng chia sẻ được gắn kết để truy cập vào máy tính, đồng thời tải xuống các công cụ bổ sung như Mimikatz để thu thập thông tin xác thực và Advanced Port Scanner để tiền hành trinh sát mạng.
Các hành động thực hiện trên máy mục tiêu được thực hiện bằng tiện ích PsExec, đây là tiện ích quản trị hệ thống có thể thực thi các chương trình trên máy chủ Windows từ xa.
Cuối cùng, các tin tặc triển khai phần mềm mã độc tống tiền Mimic. Sau khi quá trình mã hóa hoàn tất, tiến trình red.exe sẽ thực thi thông báo mã hóa/thanh toán được lưu trên ổ C:\ của nạn nhân dưới dạng “—IMPORTANT—NOTICE—.txt”. Tệp văn bản chứa thông báo sau:
Thông báo thanh toán mã độc tống tiền Mimic
Mimic lần đầu tiên được xác định và thu hút được sự chú ý vào tháng 01/2023. Một biến thể của nó cũng được sử dụng trong chiến dịch DB#JAMMER.
Nhà nghiên cứu Kolesnikov chia sẻ: “Các chỉ số và cách thức tấn công được sử dụng trong hai chiến dịch là hoàn toàn khác nhau, vì vậy khả năng rất cao đây là hai chiến dịch khác nhau. Cụ thể hơn, tuy là các phương pháp xâm nhập ban đầu tương tự nhau, nhưng DB#JAMMER phức tạp hơn một chút và sử dụng đường hầm (tunnel). Trong khi đó, chiến dịch RE#TURGENCE nhắm mục tiêu rộng hơn và có xu hướng sử dụng các công cụ hợp pháp cũng như giám sát và quản lý từ xa, chẳng hạn như AnyDesk, để cố gắng trốn tránh sự phát hiện của các giải pháp bảo mật”.
Các nhà nghiên cứu cảnh báo: “Cần cân nhắc việc để các máy chủ quan trọng trực tiếp kết nối với môi trường Internet. Trong chiến dịch RE#TURGENCE, những kẻ tấn công có thể trực tiếp tấn công vào máy chủ từ bên ngoài vùng mạng chính”.
Lê Thị Bích Hằng
(Tổng hợp)
08:00 | 11/01/2024
14:00 | 07/03/2022
09:00 | 29/01/2024
07:00 | 06/03/2023
13:00 | 05/04/2024
Chính phủ Hoa Kỳ đang cảnh báo thống đốc các bang về việc tin tặc nước ngoài đang thực hiện các cuộc tấn công mạng gây rối loạn hệ thống nước và nước thải trên khắp đất nước.
14:00 | 25/03/2024
Sáng 25/3, tại Hà Nội, Đại tướng Phan Văn Giang, Ủy viên Bộ Chính trị, Phó bí thư Quân ủy Trung ương, Bộ trưởng Bộ Quốc phòng đã có buổi làm việc với Ban Cơ yếu Chính phủ.
09:00 | 06/03/2024
Khoảng 22h20' ngày 5/3 (giờ Việt Nam), nhiều người dùng mạng xã hội của Facebook tại Việt Nam đã không thể truy cập được vào tài khoản của mình.
13:00 | 26/02/2024
OpenAI đã xóa các tài khoản được sử dụng bởi các nhóm tin tặc do nhà nước bảo trợ từ Iran, Triều Tiên, Trung Quốc và Nga, những tài khoản được cho là đang lạm dụng ChatGPT nhằm thực hiện các hành vi độc hại.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024