Quy trình xâm nhập của chiến dịch Jacana
Theo các nhà nghiên cứu, chiến dịch Jacana bắt đầu bằng một chiến dịch lừa đảo trực tuyến nhắm vào cơ quan chính phủ Guyana. Những kẻ tấn công đã gửi những email được soạn thảo chi tiết với dòng chủ đề liên quan đến các vấn đề công cộng của Guyana, điều này cho thấy rằng chúng đang theo dõi chặt chẽ tình hình chính trị ở quốc gia này.
Các email lừa đảo có chứa một liên kết mà khi nạn nhân nhấp vào sẽ tự động tải xuống tệp ZIP từ “https://fta.moit.gov[.]vn/file/people.zip”. Vì tên miền kết thúc bằng gov.vn biểu thị một trang web của Chính phủ Việt Nam nên các nhà nghiên cứu tin rằng những kẻ tấn công có thể xâm nhập vào một thực thể chính phủ khác và sử dụng nó để lưu trữ các mẫu phần mềm độc hại của chúng. Sau khi nạn nhân giải nén tệp ZIP (không có mật khẩu) và khởi chạy tệp thực thi có trong đó, phần mềm độc hại DinodasRAT sẽ hoạt động và bắt đầu tiến hành xâm nhập.
Các nhà nghiên cứu của ESET xác định rằng công cụ cốt lõi được những kẻ đe dọa sử dụng trong chiến dịch Jacana là một cửa hậu được viết bằng C++ không có giấy tờ trước đây và phần mềm độc hại được sử dụng có tên là DinodasRAT. Trojan truy cập từ xa này có nhiều khả năng bao gồm: lọc tệp, thao tác đăng ký Windows, thực thi lệnh CMD,... DinodasRAT sử dụng Thuật toán mã hóa nhỏ (TEA) để mã hóa thông tin trước khi nó gửi đến máy chủ C&C. Mã hóa này bổ sung thêm một lớp che giấu cho các hoạt động độc hại, khiến việc phát hiện và phân tích trở nên khó khăn hơn.
Sau khi có được quyền truy cập ban đầu thông qua việc lừa nạn nhân nhấp vào liên kết có trong email lừa đảo, những kẻ tấn công tiếp tục di chuyển ngang trong mạng nội bộ của nạn nhân. Họ đã sử dụng các công cụ như Impacket, một công cụ di chuyển ngang dựa trên WMI, để thực thi các lệnh khác nhau trên mạng.
Để giao tiếp với máy chủ C&C, DinodasRAT sử dụng thư viện Winsock để tạo một socket, chủ yếu sử dụng giao thức TCP nhưng cũng có khả năng chuyển sang UDP. Phần mềm độc hại tạo ra nhiều luồng cho các tác vụ khác nhau, đảm bảo liên lạc được đồng bộ hóa với máy chủ C&C. DinodasRAT được trang bị một loạt lệnh để thực thi các hành động trên máy của nạn nhân hoặc trên chính phần mềm độc hại. Các lệnh này bao gồm liệt kê nội dung thư mục, xóa tệp, sửa đổi thuộc tính tệp, gửi tệp đến máy chủ C&C,... Cửa hậu cho phép kẻ tấn công thực hiện nhiều hành động khác nhau, cung cấp cho chúng quyền kiểm soát rộng rãi đối với hệ thống bị xâm nhập.
Các nhà nghiên cứu từ công ty an ninh mạng Slovakia đưa ra một giả thuyết rằng cuộc tấn công này có mối liên hệ với tin tặc Trung Quốc. Những kẻ tấn công triển khai cửa hậu DinodasRAT, cùng với các công cụ tấn công độc hại trong số đó có một biến thể của Korplug (còn gọi là PlugX), đây một loại trojan phổ biến đối với các nhóm hacker Trung Quốc. Tuy giả thuyết chỉ được đưa ra với độ tin cậy ở mức trung bình, nhưng những diễn biến căng thẳng gần đây trong quan hệ ngoại giao giữa Guyana và Trung Quốc càng củng cố thêm niềm tin vào giả thuyết này.
Đình Đại
(Theo welivesecurity.com)
23:00 | 28/09/2023
13:00 | 17/01/2024
17:00 | 11/08/2023
10:00 | 07/04/2023
10:00 | 05/10/2023
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
12:00 | 15/12/2023
Các nhà nghiên cứu của công ty an ninh mạng Cisco Talos gần đây đã phát hiện một chiến dịch độc hại có khả năng bắt đầu từ tháng 8/2023, phát tán một Trojan truy cập từ xa (RAT) mới có tên gọi là “SugarGh0st”. Cisco Talos cho biết các tin tặc nhắm mục tiêu vào Bộ Ngoại giao Uzbekistan và người dùng tại Hàn Quốc đồng thời quy kết hoạt động này cho tin tặc Trung Quốc.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024