Nhóm tin tặc UNC4191 phát tán mã độc tự sao chép qua USB

21:00 | 12/12/2022 | HACKER / MALWARE

Nhóm tin tặc UNC4191 (có liên quan đến Trung Quốc) bị phát hiện sử dụng mã độc tự sao chép trên các ổ USB để lây nhiễm các mục tiêu. Theo báo cáo từ Mandiant - thuộc sở hữu của Google thì kỹ thuật này cho phép tin tặc đánh cắp dữ liệu từ các hệ thống air-gapped.

Nhóm tin tặc UNC4191 phát tán mã độc tự sao chép qua USB

UNC4191 từng bị phát hiện nhắm mục tiêu vào các tổ chức công và tư nhân ở Đông Nam Á, Châu Á-Thái Bình Dương, Châu Âu, Hoa Kỳ và đặc biệt tập trung vào Philippines. Theo kết quả điều tra, nhóm tin tặc này đã sử dụng các dòng mã độc như Mistcloak launcher, Darkdew dropper và Bluehaze launcher. UNC4191 đã triển khai tiện ích NCAT (cho mục đích tải tệp xuống và tải tệp lên) và một reverse shell trên máy mục tiêu, để tạo cửa hậu xâm nhập vào hệ thống.

Chu kỳ lây nhiễm bắt đầu bằng việc người dùng kết nối ổ đĩa di động bị nhiễm với máy của họ, điều này sẽ kích hoạt việc thực thi một phiên bản của ứng dụng USB Network Gate thành side-load Mistcloak. Mã độc này tải một tệp INI có chứa Darkdew, được thiết kế để đeo bám dai dẳng và lây nhiễm các ổ USB khi chúng được kết nối với hệ thống. Mã độc Bluehaze launcher hoạt động ở giai đoạn thứ ba của chuỗi lây nhiễm, sẽ thực thi một tệp NCAT đã được đổi tên và tạo ra một reverse shell cho một máy chủ C&C cố định.

Hiện tại, Mandiant chưa thấy bằng chứng về tương tác reverse shell. Tuy nhiên, dựa trên thời gian hoạt động, điều này có thể do khoảng cách hiển thị hoặc thời gian lưu giữ log ngắn. Các chuyên gia cho rằng chiến dịch đã diễn ra ít nhất là từ tháng 9/2021, tập trung vào việc làm tổn hại các tổ chức công và tư nhân để tiến hành các hoạt động gián điệp mạng liên quan đến lợi ích chính trị và thương mại của Trung Quốc.

Nguyễn Chân

‹ › ×

Tin liên quan

Cảnh báo tin tặc sử dụng Google Ads để phân phối mã độc tống tiền Royal

13:00 | 02/12/2022

Microsoft vừa đưa ra cảnh báo việc tin tặc sử dụng Google Ads trong các chiến dịch tấn công mạng, để phân phối các payload độc hại khác nhau, bao gồm cả mã độc tống tiền Royal được phát hiện gần đây.

Tin tặc Nga và Iran nhắm mục tiêu vào các tổ chức của Anh

10:00 | 15/02/2023

Trung tâm An ninh Mạng Quốc gia Vương quốc Anh (NCSC) cảnh báo về các cuộc tấn công lừa đảo trực tuyến do tin tặc được nhà nước Nga và Iran bảo trợ thực hiện nhằm thu thập thông tin của các tổ chức tại nước này.

ESET cảnh báo mạo danh thương hiệu nhằm phát tán mã độc

09:00 | 29/10/2024

Công ty nghiên cứu bảo mật ESET mới đây đã đưa ra cảnh báo về việc tin tặc tấn công một đối tác của họ tại Israel để mạo danh thương hiệu này nhằm phát tán mã độc.

Tin tặc công bố hồ sơ y tế của 500 nghìn người Australia

14:00 | 21/11/2022

Thông tin sức khỏe của hàng triệu người dân Australia đã bị rò rỉ sau khi bị tấn công bởi một nhóm tin tặc chưa rõ danh tính. Đáng lưu ý, trong số đó có 500 nghìn hồ sơ bị phát tán công khai trên các diễn đàn darkweb, kể từ khi Medibank - hãng bảo hiểm tư nhân lớn nhất tại quốc gia này từ chối chi trả 10 triệu USD tiền chuộc.

Top 5 mã độc phổ biến tấn công hàng triệu máy tính tại Việt Nam

10:00 | 22/12/2022

Theo thống kê từ Bkav, thiệt hại do virus máy tính gây ra đối với người dùng Việt Nam ở mức 21,2 nghìn tỷ đồng, thuộc nhóm thấp nhất thế giới, tương đương 0,24% GDP.

Phát hiện tiện ích mở rộng độc hại cho phép tin tặc kiểm soát Google Chrome từ xa

14:00 | 21/11/2022

Các nhà nghiên cứu tại công ty bảo mật di động Zimperium (Hoa Kỳ) phát hiện một mạng botnet mới phát tán thông qua tiện ích trên trình duyệt Chrome có tên là Cloud9, thực hiện đánh cắp tài khoản trực tuyến, theo dõi các thao tác trên bàn phím, chèn quảng cáo và mã JS độc hại, đồng thời sử dụng trình duyệt của nạn nhân phục vụ cho các cuộc tấn công DDoS.

Những chiếc USB kém chất lượng được bán ra thị trường

09:00 | 02/04/2024

Một chuyên gia khôi phục dữ liệu người Đức đã xác nhận: Thẻ nhớ USB đang ngày càng kém tin cậy hơn. Nguyên nhân được cho là do chip bộ nhớ kém hơn, trong khi việc chuyển sang lưu trữ nhiều bit trên mỗi ô flash ảnh hưởng đến chất lượng của thẻ nhớ.

Tin cùng chuyên mục

Phần mềm độc hại SparkCat mới sử dụng công nghệ OCR để đánh cắp Seed Phrase tiền điện tử

10:00 | 14/02/2025

Một chiến dịch phần mềm độc hại mới có tên là SparkCat đã tận dụng một loạt ứng dụng giả mạo trên cửa hàng ứng dụng của Apple và Google để đánh cắp Seed Phrase (một tập hợp các chữ cái cho phép người dùng truy cập, hoặc khôi phục các ví điện tử đã tạo trước đó) của nạn nhân.

Tin tặc Star Blizzard nhắm mục tiêu vào các tài khoản WhatsApp trong chiến dịch lừa đảo mới

17:00 | 28/01/2025

Nhóm tin tặc người Nga Star Blizzard được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến mới nhắm vào tài khoản WhatsApp của nạn nhân, đánh dấu sự thay đổi so với phương thức tấn công lâu đời của nhóm này nhằm mục đích tránh bị phát hiện.

Cập nhật bản vá lỗ hổng bảo mật tháng 12

16:00 | 22/01/2025

Trong tháng 12, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.

Tổng quan về tấn công ReDoS: Mối đe dọa và giải pháp phòng ngừa

13:00 | 06/01/2025

Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.