Nhóm tin tặc này được các nhà nghiên cứu Symantec đặt tên là Sowbug. Nhóm tin tặc đã bí mật tấn công các tổ chức chính sách ngoại giao, cơ quan chính phủ và các cơ sở ngoại giao ở nhiều nước, trong đó có Argentina, Brazil, Ecuador, Peru và Malaysia.
Symantec phát hiện nhóm Sowbug dùng mã độc có tên là Felismus để tấn công và xâm nhập các tổ chức. Được tìm ra lần đầu vào cuối tháng 3/2017, Felismus là một loại Trojan cho phép truy cập từ xa (RAT) tinh vi, có cấu trúc môđun hoá, nên có thể ẩn náu và mở rộng các tính năng.
Mã độc này cho phép kẻ xấu chiếm quyền kiểm soát toàn bộ hệ thống bị lây nhiễm và cũng giống như các loại RAT khác, nó cho phép kẻ xấu liên lạc với máy chủ ở xa, tải xuống và thực thi các lệnh.
Khi phân tích Felismus, các nhà nghiên cứu biết được dấu tích các chiến dịch tấn công trước đó với nhóm Sowbug, điều đó cho thấy, nhóm này đã hoạt động từ khoảng đầu năm 2015 và thậm chí là trước đó.
Báo cáo của Symantec cho biết, Sowbug dường như tập trung vào các cơ quan chính phủ ở Nam Mỹ và Đông Nam Á. Nhóm này có nguồn lực tốt, có khả năng xâm nhập đồng thời nhiều mục tiêu và thường hoạt động ngoài giờ làm việc của các mục tiêu.
Tuy vẫn chưa rõ nhóm Sowbug đã làm thế nào để xâm nhập mạng máy tính của các tổ chức, nhưng qua các bằng chứng thu thập được, các nhà nghiên cứu suy đoán rằng, tin tặc đã sử dụng các bản vá giả của Windows hay Adobe Reader. Các nhà nghiên cứu cũng phát hiện nhóm tin tặc này sử dụng công cụ có tên là Starloader để triển khai mã độc và các công cụ bổ sung như phần mềm thu thập thông tin đăng nhập và keylogger tới mạng của các nạn nhân.
Các nhà nghiên cứu đã tìm thấy bằng chứng các tệp Starloader được phát tán như bản cập nhật phần mềm với những cái tên như AdobeUpdate.exe, AcrobatUpdate.exe, INTELUPDATE.EXE,… Thay vì lây nhiễm vào các phần mềm, Sowbug đặt tên các công cụ của nhóm gần giống với các phần mềm hợp pháp và đặt các công cụ đó vào các thư mục có tên tương tự để đánh lừa người dùng. Mẹo này giúp tin tặc che giấu mã độc và khiến người dùng không nghi ngờ gì.
Nhóm Sowbug đã áp dụng nhiều biện pháp để tránh bị phát hiện như thực hiện các hoạt động gián điệp ngoài giờ hành chính. Trong một trường hợp, nhóm tin tặc đã ẩn mình và không bị phát hiện trong mạng của nạn nhân tới 6 tháng (từ tháng 9/2016 tới tháng 3/2017).
Ngoài thông tin về việc phân phối mã độc Felismus, danh tính của những tin tặc trong nhóm Sowbug vẫn chưa được tìm ra.
(theo The Hacker News)
08:00 | 19/10/2017
09:00 | 25/02/2022
08:08 | 13/07/2017
15:46 | 22/02/2016
08:00 | 04/05/2024
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024