Công ty an ninh mạng Volexity (Hoa Kỳ) đã phát hiện phần mềm độc hại này đến từ một nhóm tin tặc có tên gọi là SharpTongue, nhóm này được cho là có nhiều điểm tương đồng với một nhóm gián điệp mạng có trụ sở tại Triều Tiên được gọi công khai dưới cái tên Kimsuky.
Lịch sử hoạt động của SharpTongue gồm các tin tặc làm việc cho các tổ chức ở Hoa Kỳ, châu Âu và Hàn Quốc về các chủ đề liên quan đến Triều Tiên, các vấn đề hạt nhân, hệ thống vũ khí và các vấn đề chiến lược khác mà Triều Tiên quan tâm.
Việc SharpTongue sử dụng các tiện ích mở rộng (plugin) giả mạo trong các cuộc tấn công không phải là điều mới. Vào năm 2018, một tin tặc đã bị phát hiện sử dụng một plugin của Chrome như một phần của chiến dịch có tên Stolen Pencil để lây nhiễm cho nạn nhân và đánh cắp cookie và mật khẩu của trình duyệt.
Điểm khác biệt ở chiến dịch này là plugin có tên Sharpext nhắm mục tiêu đánh cắp dữ liệu email. Các nhà nghiên cứu của Volexity cho biết: "Phần mềm độc hại trực tiếp kiểm tra và lấy dữ liệu từ tài khoản email của nạn nhân khi họ sử dụng trình duyệt".
Hình 1. Quy trình tấn công plugin Sharpext
Các trình duyệt được nhắm mục tiêu bao gồm trình duyệt Google Chrome, Microsoft Edge và Naver's Whale với phần mềm độc hại đánh cắp email được thiết kế để thu thập thông tin từ các phiên Gmail và AOL.
Việc cài đặt tiện ích bổ sung được thực hiện bằng cách thay thế các tệp tùy chọn và tùy chọn bảo mật của trình duyệt bằng các tệp nhận được từ máy chủ điều khiển từ xa.
Hình 2. Mã nguồn sử dụng để tải xuống và cài đặt plugin độc hại
Hình 3. Mã nguồn xác định các yêu cầu có liên quan
Nhóm tin tặc SharpTongue khai thác thành công bằng cách bật bảng DevTools trong tab đang hoạt động, để lấy cắp email và tệp đính kèm từ hộp thư của người dùng, đồng thời thực hiện các bước để ẩn bất kỳ thông báo nào về việc chạy tiện ích mở rộng chế độ nhà phát triển.
Volexity đã mô tả chiến dịch là khá thành công, với lý do tin tặc có khả năng đánh cắp hàng nghìn email từ nhiều nạn nhân thông qua việc triển khai plugin độc hại.
Các nhà nghiên cứu cho biết: “Đây là lần đầu tiên Volexity quan sát thấy các plugin độc hại trên trình duyệt được sử dụng như một phần của giai đoạn hậu khai thác. Bằng cách đánh cắp dữ liệu email trong bối cảnh phiên đã đăng nhập của người dùng. Do đó, cuộc tấn công được ẩn khỏi nhà cung cấp email, khiến việc phát hiện trở nên rất khó khăn".
Các phát hiện được đưa ra vài tháng sau khi các tin tặc của nhóm Kimsuky có liên quan đến các cuộc xâm nhập chống lại các tổ chức chính trị ở Nga và Hàn Quốc để cung cấp phiên bản cập nhật của trojan truy cập từ xa được gọi là Konni.
Trước đó vào trung tuần tháng 7/2022, công ty an ninh mạng Securonix (Hoa Kỳ) đã cung cấp thông tin chi tiết của một loạt các cuộc tấn công đang diễn ra nhằm khai thác các mục tiêu có giá trị cao, nhắm vào Cộng hòa Séc, Ba Lan và các quốc gia khác như một phần của chiến dịch có tên mã STIFF # BIZON nhằm phát tán phần mềm độc hại Konni.
Mặc dù, chiến thuật và công cụ được sử dụng trong các cuộc tấn công chỉ ra mối liên hệ với một nhóm tin tặc của Triều Tiên có tên APT37, nhưng bằng chứng thu thập được liên quan đến cơ sở hạ tầng tấn công cho thấy có sự tham gia của nhóm tin tặc APT28 (hay còn gọi là Fancy Bear hoặc Sofacy) liên quan đến Nga.
Các nhà nghiên cứu cho biết: “Điều làm cho cuộc tấn công này trở nên thú vị là việc sử dụng phần mềm độc hại Konni kết hợp với các điểm tương đồng về phương thức hoạt động với APT28. Tuy nhiên, không loại trừ khả năng việc một nhóm tin tặc giả mạo để gây nhầm lẫn giữa việc phân bổ khu vực hoạt động và ẩn danh".
Nguyệt Thu
(theo thehackernews)
17:00 | 23/07/2020
14:00 | 14/12/2022
11:45 | 23/12/2014
14:00 | 21/11/2022
12:00 | 25/08/2022
10:00 | 03/10/2022
16:00 | 03/08/2023
10:00 | 19/09/2022
12:00 | 25/10/2023
08:00 | 01/11/2024
Báo cáo mới đây của hãng bảo mật Trend Micro (Mỹ) cho biết, nhóm gián điệp mạng OilRig có liên hệ với Iran đã tăng cường các hoạt động tấn công mạng nhằm vào các thực thể chính phủ của các nước khu vực Vùng Vịnh.
14:00 | 28/10/2024
Nhóm tin tặc Awaken Likho hay còn được gọi với cái tên Core Werewolf đã quay trở lại và tiếp tục nhắm mục tiêu vào các cơ quan chính phủ, doanh nghiệp lớn. Bài viết này sẽ tiến hành phân tích kỹ thuật tấn công của nhóm dựa trên công bố của hãng bảo mật Kaspersky.
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024