Công ty an ninh mạng TG Soft (Ý) cho biết trong một phân tích được công bố mới đây rằng hai cuộc tấn công có chủ đích diễn ra vào ngày 24/6 và ngày 2/7.
Công ty lưu ý: "Cả hai cuộc tấn công đều dụ dỗ nạn nhân cài đặt gói Skype for Business từ một liên kết của một tên miền trông giống với Chính phủ Ý để phân phối một biến thể của phần mềm độc hại 9002 RAT".
Nhóm tin tặc APT17 xuất hiện lần đầu tiên vào năm 2013, được phát hiện bởi các kỹ sư bảo mật Mandiant Google. Các tin tặc này lợi dụng lỗ hổng zero-day trong trình duyệt Internet Explorer của Microsoft để xâm nhập các mục tiêu tấn công. APT17 còn được biết đến với các tên gọi khác như Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx và TEMP.Avengers.
Phần mềm độc hại 9002 RAT, hay còn gọi là Hydraq và McRAT, đã từng được các tác nhân đe dọa sử dụng làm công cụ tấn công trong chiến dịch Aurora nhằm xâm nhập vào Google và các công ty lớn khác vào năm 2009. Sau đó, phần mềm độc hại này cũng được phát hiện trong một chiến dịch khác vào năm 2013 có tên là Sunshop, trong đó những kẻ tấn công đã chèn các chuyển hướng độc hại vào một số trang web.
Các cuộc tấn công mới đòi hỏi việc sử dụng mồi nhử lừa đảo trực tuyến để đánh lừa người nhận nhấp vào liên kết thúc giục họ tải xuống trình cài đặt MSI cho Skype for Business ("SkypeMeeting.msi"). Việc khởi chạy gói MSI sẽ kích hoạt việc thực thi tệp lưu trữ Java (JAR) thông qua Visual Basic Script (VBS), đồng thời cài đặt phần mềm trò chuyện hợp pháp trên hệ thống Windows. Ngược lại, ứng dụng Java sẽ giải mã và thực thi shellcode chịu trách nhiệm khởi chạy 9002 RAT.
Theo đánh giá của của nhà nghiên cứu, 9002 RAT có các tính năng giám sát lưu lượng mạng, chụp ảnh màn hình, liệt kê tệp, quản lý tiến trình và chạy các lệnh bổ sung nhận được từ máy chủ điều khiển và ra lệnh (C2), cùng nhiều tính năng khác.
TG Soft nhận định: “Phần mềm độc hại dường như cũng được cập nhật liên tục với các biến thể mới, bao gồm nhiều mô-đun khác nhau được những kẻ tấn công thực thi khi cần thiết nhằm giảm khả năng bị phát hiện và ngăn chặn”.
Bá Phúc
(The Hacker News)
15:00 | 30/07/2024
14:00 | 20/08/2024
08:00 | 12/07/2024
16:00 | 30/05/2024
16:00 | 04/09/2024
14:00 | 06/08/2024
13:00 | 13/08/2024
10:00 | 07/06/2024
13:00 | 14/02/2025
Các trang web giả mạo quảng cáo Google Chrome đã được sử dụng để phân phối trình cài đặt độc hại cho một loại trojan truy cập từ xa có tên là ValleyRAT.
12:00 | 14/01/2025
Hiệp hội thời tiết Nhật Bản (JWA) ngày 09/1 thông báo, tổ chức này đã bị tấn công mạng và tạm thời khiến website thông tin mà tổ chức này vận hành không thể truy cập được.
15:00 | 19/12/2024
Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch lừa đảo mới sử dụng các ứng dụng hội nghị truyền hình giả mạo để phát tán phần mềm đánh cắp thông tin có tên Realst, nhắm vào những người làm việc tại Web3 dưới hình thức các cuộc họp kinh doanh giả mạo.
16:00 | 18/12/2024
Các nhà nghiên cứu của hãng bảo mật Cleafy (Ý) đã đưa ra cảnh báo về một loại phần mềm độc hại ngân hàng Android mới có tên là DroidBot, hiện đang nhắm mục tiêu để đánh cắp thông tin đăng nhập của hơn 77 sàn giao dịch tiền điện tử và ứng dụng ngân hàng tại Vương quốc Anh, Ý, Pháp, Tây Ban Nha và Bồ Đào Nha.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
