Theo Microsoft, nhóm tin tặc Diamond Sleet (Zinc) đã thực hiện chiến dịch tấn công này. Trước đây, Diamond Sleet được biết đến là một nhánh của nhóm Lazarus khét tiếng, nhóm tin tặc này đã tiến hành các cuộc tấn công nhằm đánh cắp dữ liệu, gián điệp, phá hủy và thu lợi tài chính.
Các nhà nghiên cứu của công ty tình báo mối đe dọa mạng Mandiant thuộc sở hữu của Google đã lưu ý vào tháng trước: “Mục tiêu của Diamond Sleet là thu thập thông tin tình báo chiến lược và nhắm vào các tổ chức chính phủ, quốc phòng, viễn thông và tài chính trên toàn thế giới.”
Gã khổng lồ công nghệ cho biết gần đây Diamond Sleet đã nhắm mục tiêu vào CyberLink Corp, một công ty phần mềm có trụ sở tại Đài Loan chuyên về các ứng dụng chỉnh sửa âm thanh, video và ảnh.
Các tin tặc đã xâm phạm hệ thống của công ty và sửa đổi trình cài đặt ứng dụng hợp pháp. Chúng đã thêm mã độc được thiết kế để tải xuống, giải mã và tải payload giai đoạn hai. Phiên bản độc hại của trình cài đặt đã được ký bằng chứng chỉ CyberLink hợp lệ và được lưu trữ trên cơ sở hạ tầng cập nhật do công ty này sở hữu, đồng thời bao gồm các bước kiểm tra để giới hạn khoảng thời gian thực thi và bỏ qua sự phát hiện của các sản phẩm bảo mật.
Microsoft bắt đầu nhận thấy hoạt động liên quan đến trình cài đặt độc hại này vào ngày 20/10, chiến dịch này ước tính đã tác động đến hơn 100 thiết bị trên khắp Nhật Bản, Đài Loan, Canada và Mỹ.
Công ty theo dõi phần mềm độc hại dưới dạng LambLoad. Mối đe dọa này được thiết kế để kiểm tra máy chủ bị xâm nhập xem có phần mềm bảo mật từ CrowdStrike, FireEye và Tanium hay không trước khi thực thi mã độc - chỉ ứng dụng CyberLink hợp pháp mới được chạy nếu phát hiện thấy các sản phẩm bảo mật đó.
Microsoft lưu ý rằng các tin tặc được biết đến là có khả năng đánh cắp dữ liệu nhạy cảm từ nạn nhân, xâm phạm môi trường xây dựng phần mềm, chuyển tiếp sang các nạn nhân khác và thiết lập quyền truy cập liên tục. Đồng thời, hãng cũng đã cung cấp các chỉ báo liên quan về sự xâm phạm (IoC) để giúp các tổ chức có thể phát hiện hoạt động của Diamond Sleet trên mạng của họ.
Tháng trước, Microsoft cũng cáo buộc Diamond Sleet khai thác lỗ hổng bảo mật nghiêm trọng trong JetBrains TeamCity (CVE-2023-42793, điểm CVSS: 9,8) để xâm phạm các máy chủ dễ bị tấn công và triển khai một backdoor có tên ForestTiger.
Sự gia tăng các cuộc tấn công chuỗi cung ứng phần mềm do các tác nhân đe dọa Triều Tiên thực hiện nhắm vào 3CX, MagicLine4NX, JumpCloud và CyberLink cho thấy sự cảnh báo về mức độ phức tạp và tần suất ngày càng tăng của các cuộc tấn công như vậy, kêu gọi các tổ chức áp dụng các biện pháp an ninh nhằm giảm thiểu khả năng bị xâm phạm.
Các nhà nghiên cứu cho biết: “Các tin tặc đã lợi dụng các lỗ hổng zero-day và khai thác trong phần mềm của bên thứ ba để có quyền truy cập vào các mục tiêu cụ thể hoặc các tổ chức thông qua chuỗi cung ứng của họ”.
Dương Ngân
(Tổng hợp)
10:00 | 27/05/2024
17:00 | 08/11/2023
10:00 | 27/05/2024
10:00 | 19/11/2024
09:00 | 06/03/2024
12:00 | 25/10/2023
07:00 | 16/01/2024
09:00 | 15/11/2024
16:00 | 27/11/2024
16:00 | 03/08/2023
15:00 | 12/11/2024
22:00 | 31/01/2025
Sau khi gây sốt trên toàn cầu, công ty trí tuệ nhân tạo Trung Quốc DeepSeek liên tiếp gặp sự cố.
10:00 | 20/11/2024
Cảnh sát Hàn Quốc đã bắt giữ 215 người bị nghi đánh cắp 320 tỷ won (228,4 triệu USD) trong vụ lừa đảo đầu tư tiền kỹ thuật số lớn nhất tại nước này.
08:00 | 01/11/2024
Báo cáo mới đây của hãng bảo mật Trend Micro (Mỹ) cho biết, nhóm gián điệp mạng OilRig có liên hệ với Iran đã tăng cường các hoạt động tấn công mạng nhằm vào các thực thể chính phủ của các nước khu vực Vùng Vịnh.
10:00 | 30/10/2024
Vụ việc hàng nghìn máy nhắn tin và các thiết bị liên lạc khác phát nổ ở Liban hồi tháng 9 đã gióng lên hồi chuông cảnh báo về phương thức tấn công chuỗi cung ứng mới vô cùng nguy hiểm, đánh dấu sự leo thang mới trong việc sử dụng chuỗi cung ứng chống lại các đối thủ. Điều này đã đặt ra yêu cầu cấp bách cho các nhà lãnh đạo toàn cầu về việc giảm phụ thuộc vào công nghệ từ các đối thủ.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025