Theo Microsoft, nhóm tin tặc Diamond Sleet (Zinc) đã thực hiện chiến dịch tấn công này. Trước đây, Diamond Sleet được biết đến là một nhánh của nhóm Lazarus khét tiếng, nhóm tin tặc này đã tiến hành các cuộc tấn công nhằm đánh cắp dữ liệu, gián điệp, phá hủy và thu lợi tài chính.
Các nhà nghiên cứu của công ty tình báo mối đe dọa mạng Mandiant thuộc sở hữu của Google đã lưu ý vào tháng trước: “Mục tiêu của Diamond Sleet là thu thập thông tin tình báo chiến lược và nhắm vào các tổ chức chính phủ, quốc phòng, viễn thông và tài chính trên toàn thế giới.”
Gã khổng lồ công nghệ cho biết gần đây Diamond Sleet đã nhắm mục tiêu vào CyberLink Corp, một công ty phần mềm có trụ sở tại Đài Loan chuyên về các ứng dụng chỉnh sửa âm thanh, video và ảnh.
Các tin tặc đã xâm phạm hệ thống của công ty và sửa đổi trình cài đặt ứng dụng hợp pháp. Chúng đã thêm mã độc được thiết kế để tải xuống, giải mã và tải payload giai đoạn hai. Phiên bản độc hại của trình cài đặt đã được ký bằng chứng chỉ CyberLink hợp lệ và được lưu trữ trên cơ sở hạ tầng cập nhật do công ty này sở hữu, đồng thời bao gồm các bước kiểm tra để giới hạn khoảng thời gian thực thi và bỏ qua sự phát hiện của các sản phẩm bảo mật.
Microsoft bắt đầu nhận thấy hoạt động liên quan đến trình cài đặt độc hại này vào ngày 20/10, chiến dịch này ước tính đã tác động đến hơn 100 thiết bị trên khắp Nhật Bản, Đài Loan, Canada và Mỹ.
Công ty theo dõi phần mềm độc hại dưới dạng LambLoad. Mối đe dọa này được thiết kế để kiểm tra máy chủ bị xâm nhập xem có phần mềm bảo mật từ CrowdStrike, FireEye và Tanium hay không trước khi thực thi mã độc - chỉ ứng dụng CyberLink hợp pháp mới được chạy nếu phát hiện thấy các sản phẩm bảo mật đó.
Microsoft lưu ý rằng các tin tặc được biết đến là có khả năng đánh cắp dữ liệu nhạy cảm từ nạn nhân, xâm phạm môi trường xây dựng phần mềm, chuyển tiếp sang các nạn nhân khác và thiết lập quyền truy cập liên tục. Đồng thời, hãng cũng đã cung cấp các chỉ báo liên quan về sự xâm phạm (IoC) để giúp các tổ chức có thể phát hiện hoạt động của Diamond Sleet trên mạng của họ.
Tháng trước, Microsoft cũng cáo buộc Diamond Sleet khai thác lỗ hổng bảo mật nghiêm trọng trong JetBrains TeamCity (CVE-2023-42793, điểm CVSS: 9,8) để xâm phạm các máy chủ dễ bị tấn công và triển khai một backdoor có tên ForestTiger.
Sự gia tăng các cuộc tấn công chuỗi cung ứng phần mềm do các tác nhân đe dọa Triều Tiên thực hiện nhắm vào 3CX, MagicLine4NX, JumpCloud và CyberLink cho thấy sự cảnh báo về mức độ phức tạp và tần suất ngày càng tăng của các cuộc tấn công như vậy, kêu gọi các tổ chức áp dụng các biện pháp an ninh nhằm giảm thiểu khả năng bị xâm phạm.
Các nhà nghiên cứu cho biết: “Các tin tặc đã lợi dụng các lỗ hổng zero-day và khai thác trong phần mềm của bên thứ ba để có quyền truy cập vào các mục tiêu cụ thể hoặc các tổ chức thông qua chuỗi cung ứng của họ”.
Dương Ngân
(Tổng hợp)
10:00 | 27/05/2024
17:00 | 08/11/2023
10:00 | 27/05/2024
10:00 | 19/11/2024
09:00 | 06/03/2024
12:00 | 25/10/2023
07:00 | 16/01/2024
09:00 | 15/11/2024
16:00 | 27/11/2024
16:00 | 03/08/2023
15:00 | 12/11/2024
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
10:00 | 02/10/2024
Công ty Ivanti (Hoa Kỳ) tiết lộ một lỗ hổng bảo mật mới được vá trong Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đã bị tin tặc khai thác tích cực trong thực tế.
10:00 | 01/10/2024
MoneyGram, công ty cung cấp dịch vụ chuyển tiền lớn thứ hai thế giới đã xác nhận bị tấn công mạng sau nhiều ngày người dùng gặp sự cố và phàn nàn về dịch vụ. Sự cố bắt đầu từ ngày 20/9 khiến người dùng không thể nhận tiền hay xử lý giao dịch, website cũng không thể truy cập.
14:00 | 24/09/2024
Xác thực hai yếu tố (2FA) từng được xem là lá chắn vững chắc bảo vệ tài khoản của người dùng. Tuy nhiên, với sự tinh vi ngày càng tăng của các cuộc tấn công mạng, lớp bảo vệ này đang dần trở nên mong manh.
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
10:00 | 28/11/2024