Nhóm tin tặc này có tên là Scarred Manticore và đã hoạt động ít nhất từ năm 2019, được cho là có mối liên hệ chặt chẽ với tổ chức mới nổi Storm-0861, một trong bốn nhóm tin tặc của Iran có liên quan đến các cuộc tấn công mạng vào Chính phủ Albania năm ngoái. Nạn nhân của chiến dịch này trải dài trên nhiều quốc gia khác nhau như Ả Rập Saudi, Các Tiểu vương quốc Ả Rập Thống nhất (UAE), Jordan, Kuwait, Oman, Iraq và Israel.
Scarred Manticore có một số điểm trùng lặp với OilRig, một nhóm tin tặc Iran gần đây đã tấn công mạng vào chính phủ một quốc gia tại Trung Đông kể từ tháng 2 đến tháng 9/2023 như một phần của chiến dịch kéo dài 8 tháng.
Các chuỗi tấn công do Scarred Manticore thực hiện đã nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông ở Trung Đông bằng cách sử dụng backdoor có tên là HTTPSnoop, bao gồm các kỹ thuật mới để giao tiếp với các thiết bị và trình điều khiển nhân HTTP của Windows để lắng nghe các yêu cầu đến đối với các URL HTTP/HTTPS cụ thể và thực thi nội dung đó trên điểm cuối bị lây nhiễm.
Chiến dịch của Scarred Manticore có đặc điểm là sử dụng framework phần mềm độc hại chưa được biết đến trước đây có lên là LIONTAIL được cài đặt trên máy chủ Windows.
Các nhà nghiên cứu Check Point cho biết trong một phân tích vào ngày 31/10: “Scarred Manticore đã theo đuổi các mục tiêu có giá trị cao trong nhiều năm, sử dụng nhiều backdoor trên IIS để tấn công các máy chủ Windows. Chúng bao gồm nhiều webshell và backdoor DDL tùy chỉnh trên trình điều khiển”.
LIONTIAL là một phần mềm độc hại nâng cao, nó là một tập hợp các trình tải shellcode tùy chỉnh và payload shellcode nằm trong bộ nhớ. Một thành phần đáng chú ý của framework này là một phần mềm độc hại tinh vi được viết bằng ngôn ngữ C cho phép kẻ tấn công thực thi các lệnh từ xa thông qua các yêu cầu HTTP.
Chuỗi tấn công đòi hỏi phải xâm nhập công khai vào các máy chủ Windows để khởi động quá trình phân phối phần mềm độc hại và thu thập dữ liệu nhạy cảm một cách có hệ thống từ các máy chủ bị nhiễm.
.png)
Lịch sử hoạt động của Scarred Manticore cho thấy sự phát triển liên tục của kho vũ khí phần mềm độc hại của nhóm này, trong đó có Tunna - một phần mềm độc hại dựa vào các webshell với phiên bản tiếng Việt có tên FOXSHELL, tạo đường hầm cho mọi giao tiếp TCP qua HTTP.
Kể từ giữa năm 2020, Scarred Manticore cũng đã sử dụng một backdoor dựa trên .NET có tên SDD để thiết lập giao tiếp với máy chủ điều khiển từ xa thông qua trình nghe HTTP trên máy bị nhiễm, với mục tiêu cuối cùng là thực thi các lệnh tùy ý, tải lên (upload) và tải xuống tệp (download), cũng như chạy các tập hợp .NET bổ sung.
Các bản cập nhật đối với chiến thuật và công cụ của nhóm tin tặc này là điển hình của chiến dịch APT, thể hiện nguồn lực cũng như kỹ năng đa dạng của chúng. Điều này được minh họa rõ nhất qua việc Scarred Manticore sử dụng trình điều khiển độc hại có tên WINTAPIX đã bị Fortinet phát hiện vào đầu tháng 5/2023.
Check Point cho biết: “Các thành phần framework của LIONTAIL chia sẻ các chuỗi và mã hóa tương tự với các trình điều khiển FOXSHELL, backdoor SDD và WINTAPIX”.
Lê Thị Bích Hằng
21:00 | 16/11/2023
12:00 | 12/04/2024
10:00 | 22/11/2023
08:00 | 28/11/2023
10:00 | 06/12/2023
17:00 | 24/12/2021
12:00 | 25/10/2023
11:00 | 02/08/2021
08:00 | 15/05/2024
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024
