Các nhà nghiên cứu của Kaspersky cho biết mã độc này có những điểm tương đồng với phần mềm độc hại Manuscrypt, một phần trong bộ công cụ tấn công của nhóm tin tặc APT Lazarus. Vụ tấn công đầu tiên được phát hiện vào tháng 6/2021.
Ít nhất 7,2% số máy tính bị phần mềm độc hại tấn công là một phần của hệ thống điều khiển công nghiệp (ICS) được sử dụng bởi các tổ chức trong lĩnh vực kỹ thuật, tự động hóa, năng lượng, sản xuất, xây dựng, quản lý,… chủ yếu ở Ấn Độ, Việt Nam và Nga.
Trong số các trình cài đặt bị bẻ khóa được sử dụng cho mạng botnet bao gồm: Windows 10, Microsoft Office, Adobe Acrobat, Garmin, Call of Duty, Bộ công cụ của kỹ sư SolarWinds và giải pháp antivirus của Kaspersky. Việc cài đặt phần mềm vi phạm bản quyền được kích hoạt bởi phương pháp search poisoning. Khi đó những kẻ tấn công tạo ra các trang web độc hại và tối ưu hóa công cụ tìm kiếm để làm cho kết quả hiển thị nổi bật nhằm đánh lừa người dùng.
Sau khi được cài đặt, PseudoManuscrypt đi kèm với một loạt các tính năng xâm nhập cho phép kẻ tấn công toàn quyền kiểm soát hệ thống bị lây nhiễm. Điều này bao gồm vô hiệu hóa các giải pháp antivirus, đánh cắp dữ liệu kết nối VPN, ghi lại các lần nhấn phím, ghi âm, chụp ảnh màn hình và quay video màn hình cũng như chặn dữ liệu được lưu trữ trong clipboard.
Kaspersky đã xác định được 100 phiên bản khác nhau của trình tải PseudoManuscrypt, với các biến thể thử nghiệm sớm nhất xuất hiện từ ngày 27/3/2021. Các thành phần của trojan được mượn từ phần mềm độc hại hàng hóa như Fabookie và thư viện giao thức KCP do APT41 có trụ sở tại Trung Quốc sử dụng gửi dữ liệu trở lại hệ thống máy chủ C2.
Các mẫu phần mềm độc hại do ICS CERT phân tích cũng có các bình luận được viết bằng tiếng Trung Quốc và phát hiện ngôn ngữ này thường kết nối với máy chủ C2. Tuy nhiên, vẫn chưa đủ bằng chứng để kết luận về nguồn gốc của nhóm tin tặc.
M.H
14:00 | 08/12/2021
10:00 | 20/01/2022
17:00 | 28/01/2022
17:00 | 19/11/2021
18:00 | 29/10/2021
22:00 | 25/01/2025
Mông Cổ, Đài Loan, Myanmar, Việt Nam và Campuchia đang là mục tiêu của nhóm tin tặc RedDelta có liên hệ với Trung Quốc nhằm triển khai phiên bản tùy chỉnh của backdoor PlugX trong khoảng thời gian từ tháng 7/2023 đến tháng 12/2024.
09:00 | 24/01/2025
Các nhà nghiên cứu bảo mật đã phát hiện một mã khai thác (Proof of Concept - PoC) lừa đảo đối với lỗ hổng CVE-2024-49113 (hay còn gọi là LDAPNightmare) trên GitHub lây nhiễm phần mềm độc hại đánh cắp thông tin cho người dùng, từ đó đánh cắp dữ liệu nhạy cảm sang máy chủ FTP bên ngoài.
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025