Các tin tặc này được cho là có nguồn gốc từ Triều Tiên và đã thực hiện những cuộc tấn công mạng nhằm vào các cửa hàng trực tuyến, trang web thương mại điện từ tháng 5/2019 cho đến nay.
Một trong những “nạn nhân” lớn của các tin tặc mà SanSec phát hiện ra đó là Claire - chuỗi cửa hàng bán lẻ phụ kiện và trang sức của Mỹ. SanSec cho biết hệ thống của Claire đã bị hacker tấn công và xâm nhập vào ngày 4/6/2020.
Theo SanSec, hình thức thức tấn công mà các tin tặc sử dụng có tên gọi “Magecart”. Mặc dù, cách tấn công có bản chất đơn giản nhưng đòi hỏi kỹ năng cao từ phía các tin tặc để thực thi. Mục tiêu tấn công của các tin tặc là chiếm quyền kiểm soát máy chủ của các cửa hàng trực tuyến, các widget bên thứ 3 được cài đặt trên trang web… để có thể cài đặt và thực thi mã độc trên giao diện của trang web.
Các mã độc chỉ được kích hoạt trên giao diện thanh toán của trang web và sẽ âm thầm lưu lại các thông tin chi tiết về tài khoản thanh toán của người dùng khi họ khai báo thông tin thanh toán. Các dữ liệu này sau đó được gửi cho máy chủ bên ngoài do tin tặc kiểm soát. Các dữ liệu bị đánh cắp sẽ được sử dụng để mua sắm trên mạng hoặc bán trên thị trường chợ đen.
Hình thức tấn công “Magecart” thường đòi hỏi tin tặc phải duy trì hoạt động của một cơ sở hạ tầng lớn để lưu trữ mã độc hoặc để thu thập dữ liệu. SanSec cho biết đã phát hiện ra bằng chứng cho thấy cơ sở hạ tầng mà tin tặc sử dụng trong những vụ tấn công “Magecart” gần đây từng được các tin tặc tại Triều Tiên sử dụng trong những vụ tấn công mạng trước đó.
Willem de Groot, nhà sáng lập của SanSec khẳng định có bằng chứng cho thấy nhóm tin tặc với tên gọi Hidden Cobra, có nguồn gốc từ Triều Tiên là thủ phạm đứng đằng sau những vụ tấn công mạng nhằm vào các trang thương mại điện tử trong thời gian gần đây.
“Cách thức để Hidden Cobra chiếm quyền truy cập hệ thống máy chủ là chưa được rõ, nhưng các tin tặc thường sử dụng các email lừa đảo nhằm vào quản lý các cửa hàng để lấy cắp mật khẩu”, Willem de Groot cho biết.
Trước đó, nhiều nhóm tin tặc được cho là đến từ Triều Tiên cũng bị cáo buộc là thủ phạm tấn công vào hệ thống mạng của nhiều ngân hàng trên toàn cầu để lấy cắp tiền và thực hiện các vụ lừa đảo.
Nhiều chuyên gia bảo mật cũng đã cáo buộc tin tặc Triều Tiên là tác giả của loại mã độc tống tiền WannaCry từng khiến cả thế giới phải “điên đầu”, tuy nhiên, đến nay vẫn chưa có bằng chứng cụ thể nào để chứng minh cho điều này.
Tuệ Minh
08:00 | 25/06/2020
16:00 | 21/08/2020
22:00 | 15/08/2022
07:00 | 23/06/2020
11:00 | 22/05/2020
13:00 | 09/03/2021
08:00 | 15/04/2020
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
09:00 | 29/01/2024
Các nhà nghiên cứu đến từ hãng bảo mật Fortinet (Mỹ) phát hiện một biến thể mới của Trojan truy cập từ xa có tên Bandook đang được phân phối thông qua các cuộc tấn công lừa đảo nhằm mục đích xâm nhập vào các máy tính Windows. Bài viết sẽ phân tích hành vi của Bandook, cung cấp thông tin chi tiết về các thành phần được sửa đổi trong biến thể mới và giải mã một số ví dụ về cơ chế giao tiếp máy chủ ra lệnh và điều khiển (C2) của phần mềm độc hại này.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
Lợi dụng lỗ hổng CVE-2024-27956 (có điểm 9,9) trong plugin WP Automatic của WordPress, tin tặc có thể tấn công hơn 30.000 trang web bằng cách tạo tài khoản người dùng với đặc quyền quản trị và cài đặt backdoor để truy cập lâu dài.
10:00 | 13/05/2024