Nhóm tin tặc này sử dụng mã độc Slingshot để lây nhiễm cho hàng trăm nghìn nạn nhân tại Trung Đông và châu Phi bằng cách khai thác một lỗ hổng trong các router từ nhà cung cấp phần cứng mạng Mikrotik (Lavia, Phần Lan), bước đầu là bí mật phát tán phần mềm gián điệp qua máy tính nạn nhân.
Khi router bị xâm chiếm, kẻ tấn công sẽ thay một file trong thư viện liên kết động (Dynamic Link Library - DDL) bằng một mã độc từ file trên hệ thống, tải trực tiếp vào bộ nhớ máy tính của nạn nhân khi người dùng chạy phần mềm Winbox Loader.
Winbox Loader là một công cụ quản lý hợp pháp do Mikrotik thiết kế cho người dùng Windows dễ dàng cấu hình các router của họ để tải các file DLL từ router và thực thi chúng trên hệ thống.
Bằng cách này, mã độc có trong file DLL sẽ chạy trên máy tính mục tiêu, kết nối đến một máy chủ từ xa để tải về payload.
Mã độc Slingshot bao gồm 2 môđun là: Cahnadr (chế độ nhân) và GollumApp (chế độ người dùng), được thiết kế để thu thập, lưu thông tin và lọc dữ liệu.
Cahnadr hay aka NDriver phụ trách chống sửa lỗi (debug), ẩn giấu mã độc và chức năng phòng chống các kiểu tấn công (sniffing), lây nhiễm các môđun khác, giao tiếp mạng được yêu cầu theo chế độ người dùng.
Trong khi đó, GollumApp là môđun có chức năng thực hiện hành vi gián điệp trong phạm vi rộng, cho phép kẻ tấn công chụp ảnh màn hình, thu thập các thông tin liên quan trong mạng, mật khẩu được lưu trữ trên trình duyệt web, duy trì giao tiếp với các máy chủ C&C từ xa.
Khi GollumApp chạy chế độ nhân và có thể chạy các tiến trình mới với đặc quyền SYSTEM, mã độc sẽ trao toàn quyền kiểm soát của hệ thống bị lây nhiễm cho tin tặc.
Mặc dù các nhà nghiên cứu Kaspersky không cho biết nguồn gốc nhóm tin tặc này nhưng dựa trên các kỹ thuật thông minh mà họ sử dụng và các mục tiêu thì công ty an ninh đã kết luận rằng, đây chắc chắn là tin tặc do nhà nước bảo trợ, nói tiếng Anh có kỹ năng cao.
Nạn nhân phần lớn là các cá nhân và tổ chức chính phủ của nhiều quốc gia khác nhau như: Kenya, Yemen, Libya, Afghanistan, Iraq, Tanzania, Jordan, Mauritius, Somalia, Cộng hoà Congo, Thổ Nhĩ Kỹ, Sudan và các Tiểu vương quốc ả Rập thống nhất (United Arab Emirates – UAE).
Hồng Loan
Theo The Hacker News
13:00 | 28/06/2018
13:00 | 14/12/2020
14:00 | 28/03/2022
02:00 | 30/10/2019
08:00 | 15/05/2024
Ba Lan cho biết nhóm tin tặc APT28 có liên quan đến Cơ quan tình báo quân đội Nga (GRU) đã thực hiện các cuộc tấn công mạng nhắm mục tiêu vào các tổ chức chính phủ Ba Lan trong khoảng thời gian đầu tháng 5/2024.
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024