Earth Lusca - nhóm tin tặc Trung Quốc mới nổi

09:00 | 25/02/2022 | HACKER / MALWARE

Một nhóm tin tặc mới được cho là có liên quan đến chính phủ Trung Quốc được các nhà nghiên cứu tại công ty an ninh mạng Trend Micro (Nhật Bản) phát hiện, đặt tên là Earth Lusca. Nhóm tin tặc này không chỉ được nhà nước hậu thuẫn để thực hiện các chiến dịch gián điệp mạng chống lại các quốc gia khác, mà còn đang tìm kiếm lợi nhuận từ các cuộc tấn công vào một số công ty hoạt động đánh bạc ở Trung Quốc và nhiều nền tảng tiền điện tử khác.

Earth Lusca - nhóm tin tặc Trung Quốc mới nổi

Ông Andy Norton, một quan chức về rủi ro mạng châu Âu tại công ty an ninh mạng Armis (California) cho biết, "mặc dù đây không phải là mối đe dọa lớn đối với các quốc gia, nhưng các hoạt động và mục tiêu của Earth Lusca dường như phù hợp với dự luật của một chương trình nghị sự do chính phủ Trung Quốc định hướng. Nhiều quốc gia trên thế giới sử dụng mạng như một phương pháp để thu thập thông tin tình báo chính trị, dù đó là để nắm bắt và điều chỉnh chính sách đối ngoại, hiểu rõ hơn về sở hữu trí tuệ hay giám sát hoạt động của công dân”.

Norton cho biết, các thông tin được nêu trong báo cáo của Trend Micro đã được biết đến bao gồm việc sử dụng các payload giả mạo. Chẳng hạn như sử dụng các máy khai thác tiền điện tử Monero (XMR), chúng thường cố tình được sử dụng để đánh lạc hướng sự chú ý để nhắm mục đích vào một cuộc tấn công tinh vi hơn.

Các nhà nghiên cứu của Trend Micro đã bắt đầu theo dõi các hoạt động của Earth Lusca vào giữa năm 2021 và đã liên kết nhóm tin tặc này với các cuộc tấn công được biết đến công khai nhắm đến các mục tiêu bao gồm:

Các tổ chức chính phủ ở Đài Loan, Thái Lan, Philippin, Việt Nam, Các Tiểu vương quốc Ả Rập Thống nhất, Mông Cổ và Nigeria;
Các cơ sở giáo dục ở Đài Loan, Hồng Kông, Nhật Bản và Pháp;
Các cơ quan truyền thông ở Đài Loan, Hồng Kông, Úc, Đức và Pháp;
Các tổ chức và phong trào chính trị ủng hộ dân chủ và nhân quyền ở Hồng Kông;
Tổ chức nghiên cứu COVID-19 tại Hoa Kỳ;
Các công ty viễn thông ở Nepal;
Các phong trào tôn giáo bị cấm ở Trung Quốc;
Các nền tảng giao dịch tiền điện tử khác nhau.

Đánh bạc và giao dịch tiền điện tử là bất hợp pháp ở Trung Quốc. Các nhà nghiên cứu cho rằng, nhóm tin tặc này dường như được chính phủ Trung Quốc hậu thuẫn để nhắm mục tiêu vào các nền tảng với các công cụ khai thác tiền điện tử, cụ thể ở đây là tiền điện tử Monero.

Quy trình hoạt động của Earth Lusca (Nguồn: Trend Micro)

Các nhà nghiên cứu cho biết, họ đã thấy sự tương đồng giữa các kỹ thuật, chiến thuật và quy trình của nhóm này với APT41 (còn được gọi là Winnti, Wicked Spider, Winnti Umbrella và Barium). Trên thực tế, Earth Lusca đã triển khai phần mềm độc hại Winnti trong các giai đoạn nâng cao của chiến dịch.

Tuy nhiên, bất chấp sự tương đồng đó, họ vẫn coi Earth Lusca là một tác nhân đe dọa riêng biệt. Các nhà nghiên cứu đã nhóm quy trình hoạt động của Earth Lusca thành hai cụm:

Cụm thứ nhất: Cụm này được xây dựng bằng cách sử dụng các máy chủ riêng ảo được thuê từ một nhà cung cấp dịch vụ có tên là Vultr. Chúng được sử dụng để thực hiện các hoạt động lừa đảo trực tuyến và hoạt động như một máy chủ điều khiển ra lệnh cho phần mềm độc hại.

Cụm thứ hai: Ngoài hoạt động như một máy chủ C&C (nhưng đối với kỹ thuật Beacon của Cobalt Strike), các nhà nghiên cứu cho biết cụm này hoạt động như một công cụ tìm kiếm các lỗ hổng trong các máy chủ công khai và xây dựng các đường hầm lưu lượng trong mạng của mục tiêu. Không giống như VPS được sử dụng trong cụm đầu tiên, cụm thứ hai chứa các máy chủ bị xâm nhập chạy phiên bản mã nguồn mở cũ của Oracle GlassFish Server.

Theo các nhà nghiên cứu, Earth Lusca đã sử dụng ba hướng tấn công chính. Hai trong số đó là lừa đảo trực tuyến và tấn công lỗ hổng có liên quan đến thủ đoạn lừa đảo phi kỹ thuật và hướng tấn công thứ ba là khai thác các lỗ hổng đã biết trong các sản phẩm như Microsoft Exchange Server (ProxyShell) và Oracle GlassFish.

Sau khi khai thác thành công, Earth Lusca sẽ triển khai một trong số các tải trọng hoặc phần mềm độc hại được liệt kê dưới đây để do thám, duy trì sự tồn tại và di chuyển ngang trong mạng: Cửa hậu Doraemon; Cửa hậu FunnySwitch; Cửa hậu ShadowPad; Phần mềm độc hại Winnti; Web shell AntSword và Web shell Behinder.

Theo các nhà nghiên cứu, các tác nhân đe dọa cũng đã triển khai các máy đào tiền điện tử để khai thác Monero, tuy nhiên lợi nhuận kiếm được từ các hoạt động khai thác tiền điện tử có vẻ thấp.

Pascal Geenens, Giám đốc tình báo về mối đe dọa tại Radware nói rằng: "Các nhóm tin tặc có liên hệ với Trung Quốc thường không chạy theo lợi ích kinh tế nhưng một khi việc tấn công các mục tiêu phục vụ đúng theo mục đích của chính phủ Trung Quốc thì các thành viên nhóm tin tặc sẽ được phép hoạt động theo mục đích tài chính của riêng họ".

Geenens cũng nói rằng: "Không có khả năng chính phủ Trung Quốc tham gia vào việc đánh cắp thông tin từ các công ty. Tuy nhiên, với lệnh cấm tiền điện tử và cờ bạc tại Trung Quốc, cùng với việc thúc đẩy thanh toán tiền điện tử trên nền tảng kỹ thuật số do chính phủ quản lý thì nó đáng để chúng ta theo dõi tình hình".

Anh Nguyễn

‹ › ×

Tin liên quan

Nhóm tình báo công nghiệp SowBug đánh cắp bí mật ngoại giao từ năm 2015

08:00 | 28/11/2017

Mới đây, các nhà nghiên cứu của công ty bảo mật Symantec phát hiện một nhóm tin tặc và tình báo công nghiệp đã thực hiện một chuỗi các cuộc tấn công vào các cơ quan chính phủ ở Nam Mỹ và Đông Nam Á nhằm đánh cắp thông tin nhạy cảm từ năm 2015.

Thu thập thông tin tình báo từ các nguồn mở trong cuộc cách mạng công nghiệp 4.0

14:00 | 03/08/2020

Cách mạng công nghiệp 4.0 là cuộc cách mạng số, đánh dấu sự phát triển của Internet vạn vật (IoT), các dịch vụ kết nối Internet (IoS)… Đây là thời đại mà hàng tỷ người sử dụng Internet để giao tiếp và trao đổi dữ liệu. Việc này đem lại rất nhiều lợi ích cho xã hội. Tuy nhiên, cũng tồn tại rất nhiều rủi ro như: tội phạm mạng, các nhóm khủng bố, nguy cơ lây nhiễm mã độc…. Vì vậy, một trong những cách thức chống lại những rủi ro này là việc sử dụng trí thông minh nguồn mở (Open Source Intelligence - OSINT), để thu thập thông tin về các đối tượng khả nghi, các nhân tố chính trong các tổ chức phản động.

Phân loại thông tin tình báo mối đe dọa an ninh mạng

07:00 | 23/06/2020

Công việc của những chuyên gia an ninh mạng dường như không bao giờ ngơi nghỉ. Nghiên cứu của Đại học Maryland định lượng tốc độ trung bình để hacker thực hiện mỗi tấn công là 39 giây. Khi quá trình số hóa ngày càng tăng tốc trên toàn cầu cũng là lúc tội phạm mạng liên tục tìm ra phương thức mới để khai thác điểm yếu trong cơ sở hạ tầng công nghệ thông tin của tổ chức. Trong bối cảnh không thể đoán trước, liệu một tổ chức có thể đón đầu về xu hướng an ninh mạng sắp tới hay không? Khi nói đến “đón đầu”, một trong những chìa khóa để đảm bảo an ninh mạng là sự chủ động, thay vì chỉ phản ứng khi xảy ra sự cố bảo mật mạng. Để làm được điều này, thông tin tình báo mối đe dọa an ninh mạng đóng vai trò quan trọng để bất kỳ tổ chức nào tránh được tấn công mạng. Dưới đây Tạp chí An toàn thông tin giới thiệu bài viết của ông Yeo Siang Tiong, Tổng Giám đốc Kapersky khu vực Đông Nam Á.

Nhóm tin tặc Killnet đánh sập trang web của Anonymous

14:00 | 02/03/2022

Trước động thái nhóm hacker nổi tiếng Anonymous khởi động chiến dịch tấn công mạng nhắm vào Nga, nhằm đánh sập một số trang web liên quan đến chính phủ của quốc gia này trong thời gian ngắn, nhóm tin tặc Killnet ngay láp tức phản công đánh sập trang web của Anonymous.

Cạnh tranh địa kỹ thuật số nhìn từ chiến lược con đường tơ lụa số của Trung Quốc

15:00 | 19/03/2022

Thuật ngữ “cạnh tranh địa kỹ thuật số” được xuất hiện vào thế kỷ 21, khi các cường quốc trên thế giới tập trung trong cuộc đua tạo lợi thế cạnh tranh công nghệ. Với mục tiêu đưa Trung Quốc trở thành nước dẫn đầu toàn cầu, Sáng kiến Vành đai và Con đường (Belt and Road Initiative - BRI) và Con đường tơ lụa số (Digital Silk Road - DSR) là những chiến lược quan trọng của quốc gia này.

Tin cùng chuyên mục

Hệ thống công nghệ thông tin của PVOIL bị tấn công ransomware

09:00 | 03/04/2024

Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.

Tổng quan về mã độc Pegasus

07:00 | 15/01/2024

Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.

Phần mềm độc hại NKAbuse: Mối đe dọa mới với công nghệ Blockchain

08:00 | 12/01/2024

Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.

Tấn công lừa đảo qua email về tiền điện tử: Đánh cắp từ ví nóng và ví lạnh

09:00 | 10/01/2024

Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.