UNC4191 từng bị phát hiện nhắm mục tiêu vào các tổ chức công và tư nhân ở Đông Nam Á, Châu Á-Thái Bình Dương, Châu Âu, Hoa Kỳ và đặc biệt tập trung vào Philippines. Theo kết quả điều tra, nhóm tin tặc này đã sử dụng các dòng mã độc như Mistcloak launcher, Darkdew dropper và Bluehaze launcher. UNC4191 đã triển khai tiện ích NCAT (cho mục đích tải tệp xuống và tải tệp lên) và một reverse shell trên máy mục tiêu, để tạo cửa hậu xâm nhập vào hệ thống.
Chu kỳ lây nhiễm bắt đầu bằng việc người dùng kết nối ổ đĩa di động bị nhiễm với máy của họ, điều này sẽ kích hoạt việc thực thi một phiên bản của ứng dụng USB Network Gate thành side-load Mistcloak. Mã độc này tải một tệp INI có chứa Darkdew, được thiết kế để đeo bám dai dẳng và lây nhiễm các ổ USB khi chúng được kết nối với hệ thống. Mã độc Bluehaze launcher hoạt động ở giai đoạn thứ ba của chuỗi lây nhiễm, sẽ thực thi một tệp NCAT đã được đổi tên và tạo ra một reverse shell cho một máy chủ C&C cố định.
Hiện tại, Mandiant chưa thấy bằng chứng về tương tác reverse shell. Tuy nhiên, dựa trên thời gian hoạt động, điều này có thể do khoảng cách hiển thị hoặc thời gian lưu giữ log ngắn. Các chuyên gia cho rằng chiến dịch đã diễn ra ít nhất là từ tháng 9/2021, tập trung vào việc làm tổn hại các tổ chức công và tư nhân để tiến hành các hoạt động gián điệp mạng liên quan đến lợi ích chính trị và thương mại của Trung Quốc.
Nguyễn Chân
13:00 | 02/12/2022
10:00 | 15/02/2023
09:00 | 29/10/2024
14:00 | 21/11/2022
10:00 | 22/12/2022
14:00 | 21/11/2022
09:00 | 02/04/2024
17:00 | 28/01/2025
Nhóm tin tặc người Nga Star Blizzard được cho là có liên quan đến một chiến dịch lừa đảo trực tuyến mới nhắm vào tài khoản WhatsApp của nạn nhân, đánh dấu sự thay đổi so với phương thức tấn công lâu đời của nhóm này nhằm mục đích tránh bị phát hiện.
16:00 | 18/12/2024
Các nhà nghiên cứu của hãng bảo mật Cleafy (Ý) đã đưa ra cảnh báo về một loại phần mềm độc hại ngân hàng Android mới có tên là DroidBot, hiện đang nhắm mục tiêu để đánh cắp thông tin đăng nhập của hơn 77 sàn giao dịch tiền điện tử và ứng dụng ngân hàng tại Vương quốc Anh, Ý, Pháp, Tây Ban Nha và Bồ Đào Nha.
10:00 | 11/12/2024
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
09:00 | 14/11/2024
Trong thời đại công nghệ số, công nghệ trở thành một phần không thể thiếu trong ngành Y tế, các bệnh viện và cơ sở y tế toàn cầu ngày càng trở thành mục tiêu của những cuộc tấn công mạng phức tạp và tinh vi.
Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.
08:00 | 19/02/2025