Công ty an ninh mạng TG Soft (Ý) cho biết trong một phân tích được công bố mới đây rằng hai cuộc tấn công có chủ đích diễn ra vào ngày 24/6 và ngày 2/7.
Công ty lưu ý: "Cả hai cuộc tấn công đều dụ dỗ nạn nhân cài đặt gói Skype for Business từ một liên kết của một tên miền trông giống với Chính phủ Ý để phân phối một biến thể của phần mềm độc hại 9002 RAT".
Nhóm tin tặc APT17 xuất hiện lần đầu tiên vào năm 2013, được phát hiện bởi các kỹ sư bảo mật Mandiant Google. Các tin tặc này lợi dụng lỗ hổng zero-day trong trình duyệt Internet Explorer của Microsoft để xâm nhập các mục tiêu tấn công. APT17 còn được biết đến với các tên gọi khác như Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx và TEMP.Avengers.
Phần mềm độc hại 9002 RAT, hay còn gọi là Hydraq và McRAT, đã từng được các tác nhân đe dọa sử dụng làm công cụ tấn công trong chiến dịch Aurora nhằm xâm nhập vào Google và các công ty lớn khác vào năm 2009. Sau đó, phần mềm độc hại này cũng được phát hiện trong một chiến dịch khác vào năm 2013 có tên là Sunshop, trong đó những kẻ tấn công đã chèn các chuyển hướng độc hại vào một số trang web.
Các cuộc tấn công mới đòi hỏi việc sử dụng mồi nhử lừa đảo trực tuyến để đánh lừa người nhận nhấp vào liên kết thúc giục họ tải xuống trình cài đặt MSI cho Skype for Business ("SkypeMeeting.msi"). Việc khởi chạy gói MSI sẽ kích hoạt việc thực thi tệp lưu trữ Java (JAR) thông qua Visual Basic Script (VBS), đồng thời cài đặt phần mềm trò chuyện hợp pháp trên hệ thống Windows. Ngược lại, ứng dụng Java sẽ giải mã và thực thi shellcode chịu trách nhiệm khởi chạy 9002 RAT.
Theo đánh giá của của nhà nghiên cứu, 9002 RAT có các tính năng giám sát lưu lượng mạng, chụp ảnh màn hình, liệt kê tệp, quản lý tiến trình và chạy các lệnh bổ sung nhận được từ máy chủ điều khiển và ra lệnh (C2), cùng nhiều tính năng khác.
TG Soft nhận định: “Phần mềm độc hại dường như cũng được cập nhật liên tục với các biến thể mới, bao gồm nhiều mô-đun khác nhau được những kẻ tấn công thực thi khi cần thiết nhằm giảm khả năng bị phát hiện và ngăn chặn”.
Bá Phúc
(The Hacker News)
15:00 | 30/07/2024
14:00 | 20/08/2024
08:00 | 12/07/2024
16:00 | 30/05/2024
16:00 | 04/09/2024
14:00 | 06/08/2024
13:00 | 13/08/2024
10:00 | 07/06/2024
09:00 | 24/02/2025
Vụ tấn công lớn nhất lịch sử tiền mã hóa đã diễn ra vào ngày 21/2, khi ví Bybit đã bị hacker lấy đi số ETH trị giá 1,46 tỷ USD. Trước đó, Bybit thu hút giới đầu tư tiền mã hóa bởi việc tuyên bố không niêm yết Pi và ám chỉ rằng đó là dự án lừa đảo.
16:00 | 20/01/2025
Ngày 06/01, nhóm tin tặc Silent Crow được cho là liên quan đến Ukraine tuyên bố đã xâm nhập vào hệ thống của Cơ quan địa chính và bản đồ Quốc gia Nga (Rosreestr) và công bố một phần dữ liệu được cho là trích xuất từ cơ sở dữ liệu của cơ quan này.
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
12:00 | 26/12/2024
Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
