Nhóm tin tặc Iron Tiger tấn công chuỗi cung ứng để triển khai phần mềm độc hại

12:00 | 25/08/2022 | HACKER / MALWARE

Theo báo cáo của Trend Micro, nhóm tin tặc có liên quan đến Trung Quốc, Iron Tiger đã sử dụng các máy chủ bị xâm nhập của một ứng dụng trò chuyện để phân phối phần mềm độc hại tới các hệ thống Windows và macOS.

Nhóm tin tặc Iron Tiger tấn công chuỗi cung ứng để triển khai phần mềm độc hại

Được biết đến với các tên gọi như APT27, Bronze Union, Emissary Panda, Lucky Mouse và TG-3390 (Threat Group 3390), Iron Tiger đã hoạt động từ năm 2010, nhắm mục tiêu hàng trăm tổ chức trên toàn thế giới với mục đích gián điệp mạng.

Là một phần của các cuộc tấn công gần đây, nhóm tin tặc thực hiện tấn công có chủ đích (APT) và lạm dụng các máy chủ bị xâm phạm của ứng dụng nhắn tin MiMi có sẵn trên Windows, macOS, Android và iOS. Để phát tán phần mềm độc hại. Phiên bản máy tính để bàn của ứng dụng được xây dựng bằng cách sử dụng khung đa nền tảng ElectronJS. Iron Tiger đã xâm nhập máy chủ lưu trữ các trình cài đặt hợp pháp của ứng dụng trò chuyện này để tiến hành tấn công chuỗi cung ứng. Mã độc sẽ triển khai macOS backdoor "rshell" để thu thập thông tin hệ thống, nhận các lệnh từ máy chủ ra lệnh và kiểm soát (C2) và gửi kết quả tới máy chủ này. Backdoor này có thể mở hoặc đóng một shell, thực hiện các lệnh shell, liệt kê các thư mục, đọc tệp, ghi vào tệp, đóng tệp, chuẩn bị tệp để tải xuống và tải lên hoặc xóa tệp.

Các nhà nghiên cứu đã phát hiện ra nhiều mẫu rshell, trong đó có một số mẫu nhắm mục tiêu đến Linux. Mẫu cũ nhất được tải lên vào tháng 6/2021. Các chuyên gia cũng tìm thấy bằng chứng cho thấy Iron Tiger đã giành quyền truy cập vào máy chủ chứa trình cài đặt MiMi vào khoảng tháng 11/2021, khi tin tặc sửa đổi trình cài đặt Windows. Tuy nhiên, trình cài đặt macOS đã được sửa đổi vào tháng 5/2022.

Cùng với đó, tin tặc đã tận dụng quyền truy cập vào máy chủ MiMi để sửa đổi trình cài đặt một cách nhanh chóng ngay sau khi các nhà phát triển phát hành phiên bản ứng dụng mới.

Mặc dù trình cài đặt MiMi có chứa mã độc không có chữ ký hợp pháp và cần bỏ qua nhiều cảnh báo bảo mật từ hệ thống để cài đặt nhưng người dùng thường bỏ qua nó.

Trình cài đặt chứa mã độc dành cho hệ điều hành Windows sẽ tải backdoor HyperBro xuống hệ thống của nạn nhân. Backdoor này có thể thu thập thông tin hệ thống, tải lên hoặc tải xuống tệp, thao tác với tệp, liệt kê nội dung của thư mục, thực thi lệnh shell, chạy ứng dụng, chụp ảnh màn hình, kết thúc tiến trình, chèn mã vào tiến trình và điều khiển các dịch vụ.

Iron Tiger dường như chỉ nhắm vào các nạn nhân ở Đài Loan và Philippines. Trong đó 5 nạn nhân bị cài đặt backdoor HyperBro và 8 nạn nhân bị cài đặt backdoor rshell. Hiện tại, một công ty phát triển game của Đài Loan là nạn nhân của nhóm tin tặc.

M.H

‹ › ×

Tin liên quan

Tin tặc rao bán 100.000 thông tin tài khoản ngân hàng người dùng Việt

16:00 | 10/08/2022

Thu hút sự chú ý của dư luận trong vài ngày gần đây là việc thông tin 100.000 tài khoản ngân hàng người dùng Việt Nam bao gồm số dư tài khoản, họ tên, địa chỉ, số tài khoản, số điện thoại và ngày tháng năm sinh… được rao bán công khai trên Internet. Một lần nữa hồi chuông báo động về bảo mật dữ liệu người dùng lại được vang lên.

Phần mềm quản lý mật khẩu LastPass bị tin tặc tấn công

15:00 | 30/08/2022

Mới đây, ứng dụng quản lý mật khẩu LastPass cho biết một phần mã nguồn và dữ liệu kỹ thuật nội bộ đã bị đánh cắp cách đây 2 tuần sau khi tin tặc đột nhập hệ thống. May mắn, mật khẩu của người dùng không bị tấn công.

Phần mềm độc hại GuLoader sử dụng các kỹ thuật mới để trốn tránh phần mềm bảo mật

10:00 | 04/01/2023

Các nhà nghiên cứu tại công ty an ninh mạng CrowdStrike (Mỹ) đã cho biết, nhiều kỹ thuật mới được “GuLoader” - một trình tải xuống phần mềm độc hại áp dụng để trốn tránh sự phát hiện của các phần mềm bảo mật.

Tin tặc Triều Tiên sử dụng tiện ích mở rộng độc hại trên trình duyệt để theo dõi tài khoản email

22:00 | 15/08/2022

Một nhóm tin tặc hoạt động với mục địch tài chính được cho là có liên quan đến Triều Tiên đã triển khai một tiện ích mở rộng độc hại trên các trình duyệt web dựa trên Chromium, có khả năng đánh cắp nội dung email từ Gmail và AOL.

Cách loại bỏ trojan, virus, worm và các phần mềm độc hại

14:00 | 09/12/2022

Phần mềm độc hại đã trở thành khái niệm không còn xa lạ đối với người dùng hiện nay. Tuy nhiên, chúng được phân loại và có cách thức hoạt động khác nhau. Bài viết này hướng dẫn người dùng cách loại bỏ những phần mềm độc hại thuộc dạng virus, trojan, worm.

Chiến dịch tấn công bằng phần mềm độc hại mới nhắm đến người dùng tại Ý

15:00 | 19/01/2023

Mới đây, một chiến dịch tấn công bằng phần mềm độc hại mới được phát hiện nhắm đến người dùng tại Ý. Phần mềm này sử dụng các email lừa đảo được thiết kế để triển khai một trình đánh cắp thông tin trên các hệ thống Windows bị xâm nhập.

EvilProxy - công cụ tấn công mới cho phép tin tặc vượt qua xác thực đa yếu tố

07:00 | 15/09/2022

Vừa qua, các nhà nghiên cứu tại công ty bảo mật Resecurity đã phát hiện một nền tảng PaaS (Phishing-as-a-Service) được gọi là “EvilProxy” (còn được gọi là Moloch), đang được các tin tặc sử dụng như một công cụ để đánh cắp mã xác thực thông báo nhằm vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA) trên các ứng dụng phổ biến như Apple, Google, Facebook,...

Chính phủ Hoa Kỳ yêu cầu đảm bảo an ninh từ các nhà cung cấp phần mềm

09:00 | 13/12/2022

Trung tuần tháng 9, Nhà Trắng thông báo Văn phòng Quản lý và Ngân sách (OMB) đã ban hành hướng dẫn mới với mục đích đảm bảo rằng các cơ quan liên bang chỉ sử dụng phần mềm an toàn. Hướng dẫn có tên “Tăng cường bảo mật của chuỗi cung ứng phần mềm thông qua các thực tiễn phát triển phần mềm an toàn” được xây dựng theo lệnh hành pháp về an ninh mạng do Tổng thống Joe Biden ký vào tháng 5/2021.

Tin tặc đánh cắp 22 triệu USD của nhà đầu tư NFT

13:00 | 08/08/2022

TRM Labs cho biết, trong tháng 5/2022 có hơn 100 báo cáo tấn công được gửi đến Chainabuse - nền tảng bảo vệ cộng đồng khỏi các dự án lừa đảo. Vào tháng 6, các cuộc tấn công, đánh cắp tiền của nhà đầu tư thông qua Discord gia tăng 55%. Ước tính số tiền mà tin tặc đánh cắp được của nhà đầu tư NFT lên tới 22 triệu USD.

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

14:00 | 29/09/2022

Vừa qua, một mã độc tàng hình mới có tên là Shikitega đã được phát hiện thông qua một chuỗi lây nhiễm nhiều giai đoạn với mục tiêu gửi các payload độc hại tới hệ điều hành Linux và các thiết bị IoT. Bài báo này tập trung trình bày về kỹ thuật lây nhiễm của loại mã độc mới trên Linux này.

Tầm quan trọng của việc quản lý rủi ro chuỗi cung ứng

10:00 | 27/05/2024

Quản lý rủi ro chuỗi cung ứng (Supply Chain Risk Management - SCRM) là quá trình tìm kiếm và giải quyết các lỗ hổng tiềm ẩn trong chuỗi cung ứng của một doanh nghiệp. Mục đích của SCRM là nhằm giảm thiểu tác động của những rủi ro này đối với hoạt động, thương hiệu và hiệu quả tài chính của doanh nghiệp.

Xác định, ngăn chặn và ứng phó với tấn công chuỗi cung ứng thông qua các cuộc tấn công thực tế

10:00 | 27/05/2024

Tấn công chuỗi cung ứng là một cuộc tấn công mạng nhắm vào doanh nghiệp thông qua nhà cung cấp. Các cuộc tấn công vào chuỗi cung ứng là hình thức được các tác nhân đe dọa ưa thích, vì khi phần mềm được sử dụng phổ biến bị xâm phạm, những kẻ tấn công có thể có quyền truy cập vào tất cả các doanh nghiệp sử dụng phần mềm đó.

Tin cùng chuyên mục

Mạng xã hội của Elon Musk bị tấn công mạng toàn cầu

09:00 | 12/03/2025

Theo Downdetector, trang chuyên theo dõi hoạt động của các dịch vụ Internet, mạng xã hội X bắt đầu bị gián đoạn dịch vụ vào tối 10/3 kéo dài đến 3h ngày 11/3 (giờ Việt Nam). Trên toàn cầu, có hơn 41.000 lượt báo cáo không thể truy cập vào mạng xã hội của Elon Musk. Hiện dịch vụ đã được khôi phục.

Hàng trăm nghìn người Mỹ bị đánh cắp dữ liệu cá nhân

12:00 | 26/12/2024

Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.

Phát hiện phần mềm gián điệp mới được Nga và Trung Quốc triển khai

08:00 | 20/12/2024

Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.

Chiến dịch tấn công DDoS botnet mới khai thác các thiết bị IoT trên diện rộng

10:00 | 12/12/2024

Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.