Chiến dịch tấn công liên quan tới một nhóm tin tặc TA428 được cho là có mối liên hệ với Trung Quốc. Nhóm này được biết đến với hành vi đánh cắp thông tin và hoạt động gián điệp cũng như tấn công các tổ chức ở châu Á và Đông Âu.
TA428 đã xâm nhập thành công mạng của hàng chục mục tiêu, thậm chí chiếm quyền kiểm soát toàn bộ cơ sở hạ tầng mạng thông qua việc tấn công các hệ thống được sử dụng để quản lý các giải pháp an ninh.
TA428 sử dụng các email lừa đảo có chứa thông tin bí mật về các tổ chức được nhắm mục tiêu và mã độc khai thác lỗ hổng CVE-2017-11882 trong Microsoft Office để triển khai phần mềm độc hại PortDoor.
PortDoor cũng được sử dụng trong các cuộc tấn công lừa đảo trực tuyến do các tin tặc Trung Quốc khởi xướng vào tháng 4/2021 để xâm nhập vào hệ thống của một nhà thầu quốc phòng thiết kế tàu ngầm cho Hải quân Nga.
Sau khi xâm nhập thành công mục tiêu, nhiều backdoor có liên quan tới TA428 được triển khai, bao gồm nccTrojan, Logtu, Cotx, DNSep và CotSam. Backdoor cho phép tin tặc thu thập, đánh cắp thông tin hệ thống và các tệp từ các thiết bị bị xâm nhập.
Để triển khai phần mềm độc hại CotSam, tin tặc sử dụng tệp Microsoft Word độc hại với các mã độc tương ứng trên hai phiên bản Microsoft Word 2007 cho hệ thống 32-bit và Microsoft Word 2010 cho hệ thống 64-bit.
Sau khi mở rộng tấn công trong mạng bằng cách rò quét, tìm kiếm, khai thác lỗ hổng và khởi chạy công cụ bẻ khóa mật khẩu Ladon, tin tặc sẽ có đặc quyền miền và thu thập nhiều thông tin bí mật.
Các thông tin này được gửi cho các máy chủ C2 từ các quốc gia khác nhau dưới dạng tệp ZIP được mã hóa và bảo vệ bằng mật khẩu. Các bằng chứng đều cho thấy, tất cả các thông tin bị đánh cắp chuyển đến máy chủ có địa chỉ IP của Trung Quốc.
Thông qua việc phân tích chiến thuật, kỹ thuật và quy trình, phương thức khai thác, các công cụ và máy chủ C2 được sử dụng, và thời gian hoạt động của phần mềm độc hại, các nhà nghiên cứu kết luận TA428 là nhóm đứng đằng sau các cuộc tấn công này.
M.H
13:00 | 08/08/2022
10:00 | 15/02/2023
13:00 | 02/08/2022
23:00 | 28/09/2023
08:00 | 23/06/2022
15:00 | 30/08/2022
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024