Nguy cơ tấn công từ mã độc đánh cắp dữ liệu thông qua thiết bị USB gia tăng đột biến

10:00 | 02/08/2023 | HACKER / MALWARE

Trong sáu tháng đầu năm 2023, các chuyên gia an ninh mạng của hãng bảo mật Mandiant (Mỹ) đã theo dõi và cảnh báo số vụ tấn công mã độc sử dụng ổ USB là thiết bị trung gian để đánh cắp dữ liệu người dùng tăng gấp ba lần. Các chuyên gia nhận định sự gia tăng này có khả năng đến từ các chiến dịch tấn công với quy mô lớn trên phạm vi toàn cầu và có ảnh hưởng đối với các doanh nghiệp và cơ quan chính phủ.

Qua việc theo dõi, các chuyên gia phát hiện 2 chiến dịch gián điệp mạng lớn diễn ra gần đây. Thứ nhất là chiến dịch lây lan mã độc SOGU được cho là của nhóm APT TEMP.Hex (hay còn được gọi với các tên như Mustang Panda, HoneyMyte, TA416…). Đây được coi là cuộc tấn công gián điệp mạng điển hình dựa trên USB, với mục tiêu thu thập thông tin tình báo trong các lĩnh vực công nghiệp, xây dựng, y tế, vận tải, năng lượng… tại Châu Âu, Châu Á và Mỹ. Thứ hai là chiến dịch lây lan mã độc SNOWYDRIVE được cho là của nhóm APT UNC4698 với mục tiêu nhắm đến là các công ty, tập đoàn dầu mỏ của Châu Á. Cả hai nhóm APT này đều được xác định là có liên quan đến Trung Quốc.

Nguy cơ tấn công từ mã độc đánh cắp dữ liệu thông qua thiết bị USB gia tăng đột biến

Các khu vực bị lây nhiễm mã độc của nhóm TMP.Hex và các lĩnh vực bị ảnh hưởng.

Mã độc SOGU lây lan nhanh chóng và mạnh mẽ thông qua các thiết bị USB và đã được xuất hiện ở nhiều quốc gia theo nhiều lĩnh vực. Thông qua kỹ thuật DLL hijacking mã độc SOGU khi được kích hoạt sẽ tải phần mềm độc hại KORPLUG vào bộ nhớ, đồng thời tạo ra các tệp lây nhiễm tại các vị trí khác nhau:

Vị trí và các tệp độc hại được lưu trữ

Sau đó, phần mềm độc hại tìm kiếm trên ổ C máy tính nạn nhân các tệp có định dạng: *.doc,*.docx , *.ppt , *.pptx , *.xls , *.xlsx và *.pdf và mã hóa một bản sao của mỗi tệp, mã hóa tên tệp gốc bằng Base64 và lưu các tệp được mã hóa vào các thư mục: C:\Users\<user>\AppData\Roaming\Intel\<SOGU CLSID>\<tên tệp trong Base64> và <drive>:\RECYCLER.BIN\<SOGU CLSID>\<tên tệp trong Base64>.

Phần mềm độc hại SOGU cũng có thể thực thi nhiều lệnh khác nhau thông qua máy chủ điều khiển: truyền tệp tin, mở quyền truy cập máy tính từ xa, chụp ảnh màn hình, ghi nhật ký bàn phím… Để tăng phạm vi lây nhiễm, mã độc SOGU tự sao chép vào tất cả các ổ đĩa di động mới được kết nối với máy tính bị nhiễm để từ đó lây lan sang các máy tính thuộc hệ thống khác.

Chiến dịch SNOWYDRIVE cũng sử dụng một Trojan được ngụy trang thành một tệp thực thi hợp pháp (ví dụ: USB Drive.exe). Chuỗi lây nhiễm của SNOWYDRIVE gần giống với chuỗi lây nhiễm của SOGU nhưng các thành phần độc hại được chia thành các nhóm tùy theo nhiệm vụ mà chúng thực hiện.

Các thành phần và chuỗi thực thi của chiến dịch SNOWYDRIVE

Phần mềm độc hại SNOWYDRIVE lây lan thông qua việc tự sao chép vào ổ đĩa USB khi chúng được kết nối với hệ thống bị nhiễm. Phần mềm độc hại này tạo thư mục “<drive_root>\Kaspersky\Usb Drive\3.0” trên ổ đĩa di động và sao chép các tệp được mã hóa có chứa các thành phần độc hại. Một tệp thực thi được trích xuất từ tệp “aweu23jj46jm7dc” và được ghi vào <drive_root>\<volume_name> .exe, chịu trách nhiệm giải nén và thực thi nội dung của các tệp được mã hóa.

Các chuyên gia an ninh mạng của Mandiant xác định các cửa hàng in ấn và dịch vụ khách sạn lưu trú tại địa phương là những điểm nóng tiềm tàng cho sự lây nhiễm. Phần mềm độc hại lây lan qua các thiết bị USB thường được nhắm mục tiêu cụ thể, như các hệ thống điều khiển công nghiệp, các hệ thống thông tin nội bộ, hoạt động offline…. Trước đây nhóm APT FIN7 ''khét tiếng'' và SILENT cũng đã sử dụng phương pháp tấn công lây nhiễm này.

Lưu Giáp

‹ › ×

Tin liên quan

Hướng dẫn tra cứu, thay đổi thông tin thiết bị USB Token

10:00 | 08/07/2020

Dưới đây là hướng dẫn chi tiết các bước thực hiện xem thông tin, đổi tên, đổi mật khẩu thiết bị lưu khóa bí mật USB Token do Ban Cơ yếu Chính phủ cung cấp.

Gia tăng các cuộc tấn công mạng nhắm vào chính phủ và các tổ chức dịch vụ công

12:00 | 22/08/2023

Báo cáo Tình báo mối đe dọa toàn cầu quý II/2023 của Công ty an ninh mạng BlackBerry mới được công bố cho thấy các cuộc tấn công mạng nhằm vào chính phủ và các tổ chức dịch vụ công đã tăng 40% so với quý I.

Kỹ thuật giấu tin trong ảnh

14:00 | 01/03/2024

Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.

Những chiếc USB kém chất lượng được bán ra thị trường

09:00 | 02/04/2024

Một chuyên gia khôi phục dữ liệu người Đức đã xác nhận: Thẻ nhớ USB đang ngày càng kém tin cậy hơn. Nguyên nhân được cho là do chip bộ nhớ kém hơn, trong khi việc chuyển sang lưu trữ nhiều bit trên mỗi ô flash ảnh hưởng đến chất lượng của thẻ nhớ.

Lỗ hổng nghiêm trọng trên thiết bị USB

08:46 | 07/08/2014

Các chuyên gia bảo mật của Security Research Labs (SR Labs - Đức) vừa cảnh báo một lỗ hổng bảo mật nghiêm trọng được phát hiện trên các chíp điều khiển của các thiết bị USB phổ biến hiện nay. Chúng nguy hiểm đến mức "ngay cả USB mà bạn tin tưởng 100% cũng chưa chắc an toàn", các chuyên gia nhấn mạnh.

Mã hóa ổ đĩa với Veracrypt để bảo vệ dữ liệu quan trọng

15:00 | 03/09/2023

Để bảo vệ thông tin dữ liệu được an toàn và tránh bị truy cập trái phép, mã hóa là một trong những cách thức hiệu quả nhất đảm bảo dữ liệu không thể đọc/ghi được, ngay cả trong trường hợp bị xâm phạm. Trong số 1 (065) 2022 của Tạp chí An toàn thông tin đã hướng dẫn về cách mã hóa ổ đĩa cứng sử dụng Bitlocker. Tuy nhiên, với người dùng phiên bản Windows 10 Home thì giải pháp này lại không được hỗ trợ. Bài viết sau sẽ giới thiệu đến độc giả VeraCrypt, một công cụ mã hóa miễn phí đa nền tảng với khả năng hỗ trợ nhiều thuật toán mật mã và hàm băm, cho phép người dùng mã hóa các tệp tin, phân vùng hệ thống và tạo ổ đĩa ảo mã hóa với tùy chọn phù hợp.

Hướng dẫn cài đặt trình điều khiển thiết bị USB Token của Ban Cơ yếu Chính phủ

10:00 | 19/06/2019

Bài viết dưới đây trình bày hướng dẫn để cài đặt trình điều khiển thiết bị USB Token do Ban Cơ yếu Chính phủ cung cấp.

Tin cùng chuyên mục

Phân tích kỹ thuật lừa đảo mới nhằm phát tán phần mềm độc hại trên GitHub

09:00 | 28/04/2024

Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.

Cảnh báo 7 hình thức lừa đảo phổ biến

12:00 | 12/04/2024

Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.

Lỗ hổng Windows SmartScreen bị khai thác để phát tán phần mềm độc hại Phemedrone

11:00 | 25/01/2024

Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.

Tấn công lừa đảo qua email về tiền điện tử: Đánh cắp từ ví nóng và ví lạnh

09:00 | 10/01/2024

Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.