APT - Advanced Persistent Threat là thuật ngữ dùng để mô tả một chiến dịch tấn công sử dụng kỹ thuật cao, tiên tiến để tấn công vào điểm yếu của hệ thống. Mục tiêu của các cuộc tấn công APT được lựa chọn cẩn thận và thường là các doanh nghiệp lớn, các cơ quan an ninh và cơ quan chính phủ. Các cuộc tấn công này để lại hậu quả nặng nề như đánh cắp tài sản trí tuệ, thông tin nhạy cảm; chiếm quyền tên miền của tổ chức; cơ sở hạ tầng bị phá hủy…
Nhóm APT FunnyDream
Các chuyên gia bảo mật tại BitDefender đã phát hiện ra một nhóm gián điệp mạng mới có liên hệ với Trung Quốc, được đặt tên là FunnyDream. Nhóm này đã phát tán mã độc tới hơn 200 hệ thống trên khắp Đông Nam Á trong hai năm qua.
Theo Kaspersky Lab, FunnyDream đã hoạt động ít nhất kể từ năm 2018 và nhắm mục tiêu đến các mục tiêu lớn ở Malaysia, Đài Loan và Philippines. Đặc biệt, nhóm nhắm mục tiêu đến nạn nhân ở Việt Nam và các tổ chức chính phủ nước ngoài tại các nước trong khu vực Đông Nam Á. FunnyDream vẫn đang hoạt động và duy trì sự tồn tại lâu dài trong mạng lưới của nạn nhân, theo dõi hoạt động và thu thập các tài liệu nhạy cảm, đặc biệt quan tâm đến thông tin về an ninh quốc gia và gián điệp công nghiệp.
Trong các chiến dịch tấn công, FunnyDream đã sử dụng một lượng lớn các biến thể của mã độc dạng Dropper, cổng hậu (backdoor) và các công cụ liên quan đến mã độc Chinoxy, PCShare RAT và FunnyDream. Các công cụ mã độc dạng RAT này có nguồn gốc từ Trung Quốc, với một số thành phần sử dụng tiếng Trung Quốc. Tên của nhóm xuất phát từ một backdoor nguy hiểm được sử dụng trong chính các cuộc tấn công của nhóm.
Sự giống nhau về phương thức sử dụng trong các cuộc tấn công
Theo phân tích bởi các nhà nghiên cứu Bitdefender, các cuộc tấn công thường sử dụng ba loại mã độc là Chinoxy, PCShare và FunnyDream. Funny Dream đã sử dụng cùng một quy trình để tấn công cho các chiến dịch. Bắt đầu bằng việc cài đặt mã độc cửa hậu Chinoxy, nhóm tin tặc này sẽ cài đặt mã độc và duy trì sự kết nối lâu dài tới hệ thống của nạn nhân sau lần truy cập đầu tiên.
Chinoxy Dropper sử dụng một tập tin thực thi được ký điện tử (gọi là Logitech Bluetooth Wizard Host Process) nhằm lẩn tránh sự phát hiện của các giải pháp an toàn thông tin và thực hiện tấn công kênh kề nhằm tải tập tin DLL backdoor vào bộ nhớ.
Sau đó, backdoor thực thi mã nguồn mở RAT được gọi là PcShare, để thu thập thông tin tình báo từ các máy chủ bị nhiễm. Tiếp đến, kẻ tấn công cài đặt FunnyDream là một mã độc cửa hậu đã được tùy chỉnh để hỗ trợ khả năng liên lạc và có độ bền bỉ nâng cao. Backdoor này sử dụng để thu thập thông tin tình báo và lọc dữ liệu.
Các tập tin được nhóm APT sử dụng phần lớn là ở dạng tập tin DLL, nhưng cũng có lúc là các tập tin thực thi dạng EXE với tên được đặt khác nhau cho mỗi cuộc tấn công. Điều này chứng tỏ các cuộc tấn công được thi thực riêng biệt và sử dụng các tập tin có chứa mã độc được tùy chỉnh cho từng đối tượng mục tiêu.
.jpg)
Timeline cho các mã độc được nhóm FunnyDream sử dụng
Sau khi phân tích, các nhà nghiên cứu đã tìm ra máy chủ điều khiển của nhóm FunnyDream do tên miền và địa chỉ của máy chủ quản trị được gán tĩnh trong tập tin thực thi. Hầu hết các máy chủ đặt ở Hồng Kông, ngoại trừ 3 máy chủ đặt ở Việt Nam, Trung Quốc và Hàn Quốc.
Khó khăn trong việc phòng chống các cuộc tấn công APT
Trong các cuộc tấn công APT, kẻ tấn công thường sử dụng các kỹ thuật cao để duy trì sự tồn tại trong hệ thống nạn nhân. Bên cạnh đó, chúng cũng áp dụng các biện pháp kỹ thuật để qua mặt các hệ thống Antivirus, Endpont Detection Response. Điều này khiến cho việc phát hiện các cuộc tấn công APT rất khó khăn và thường chỉ phát hiện được khi các tấn công đã diễn ra trong một thời gian dài.
Theo các chuyên gia, điều tốt nhất để phòng chống tấn công APT đó là đầu tư đồng bộ nhân lực và vật lực, thuê các chuyên gia hoặc tổ chức cung cấp dịch vụ an toàn thông tin chuyên nghiệp để giám sát các hệ thống 24/7, cũng như triển khai đào tạo để nâng cao nhận thức cho cán bộ, nhân viên trong việc sử dụng Internet an toàn.
Đăng Thứ (Theo cybersecurity-help)
09:00 | 02/12/2020
09:00 | 26/01/2021
08:00 | 28/04/2021
15:00 | 22/04/2021
09:00 | 16/09/2020
14:00 | 13/08/2020
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024
