Các chuyên gia cho rằng, nhóm tin tặc IndigoZebra phải chịu trách nhiệm cho các cuộc tấn công mạng này. Theo ghi nhận của Kaspersky, các cuộc tấn công mạng sử dụng tiếng Trung này đã từng nhắm mục tiêu vào các nước Cộng hòa thuộc Liên Xô cũ.
Các mẫu email được giả mạo được gửi từ Văn phòng Tổng thống với yêu cầu xem xét khẩn cấp các sửa đổi đối với tài liệu liên quan đến cuộc họp báo sắp tới. Những email này được gửi từ hộp thư email bị xâm nhập của những nạn nhân nổi tiếng trong quá khứ, bao gồm một kho lưu trữ .RAR được bảo vệ bằng mật khẩu có tên NSC Press conference.rar. Nếu nạn nhân mở tệp, họ sẽ nhận được tệp thực thi Windows (NSC Press conference.exe), tệp này sẽ âm thầm triển khai phần mềm độc hại và backdoor "xCaon", duy trì xâm nhập bằng cách đặt khóa đăng ký.
Email lừa đảo giả danh Văn phòng Tổng thống Afghanisan
Backdoor có thể được tải xuống và tải lên các tệp, chạy các lệnh thông qua máy chủ điều khiển và kiểm soát (C2) và đánh cắp dữ liệu.
Dropbox đang bị lạm dụng như một dạng máy chủ C2 trong phiên bản mới nhất của backdoor này, được gọi là "BoxCaon".
Các nạn nhân sẽ được gán một thư mục đã được cấu hình sẵn, được đặt tên theo địa chỉ MAC của nạn nhân, chứa các hướng dẫn về phần mềm độc hại và hoạt động như một kho lưu trữ các dữ liệu bị lọc.
Các chuyên gia Check Point cho biết: "Tin tặc đã sử dụng API Dropbox để che giấu các hoạt động độc hại của chúng vì không thấy có các thông tin liên lạc bất thường nào đến các trang web".
IndigoZebra sẽ triển khai công cụ quét NetBIOS đã từng được nhóm tin tặc khác của Trung Quốc (APT10/Stone Panda) áp dụng và có thể thực thi các công cụ tiện ích mạng để tìm kiếm các mục tiêu mới.
Phần mềm độc hại được nhóm tin tặc sử dụng bao gồm Meterpreter, Poison Ivy, xDown và backdoor xCaon.
Các chuyên gia cho rằng nhóm tin tặc IndigoZebra có khả năng phải chịu trách nhiệm cho các cuộc tấn công từ năm 2014 nhắm mục tiêu vào Kyrgyzstan và Uzbekistan.
Các nhà nghiên cứu nhận xét rằng: "Mặc dù ban đầu chúng tôi quan sát thấy IndigoZebra nhắm mục tiêu tấn công vào Uzbekistan và Kyrgyzstan, nhưng giờ đây, đã có nhiều minh chứng cho thấy chiến dịch tấn công của nó đã mở rộng sang các mục tiêu mới trong khu vực, với một bộ công cụ mới".
Trần Thanh Tùng
13:00 | 28/05/2021
11:00 | 02/08/2021
10:00 | 16/05/2021
16:00 | 19/07/2021
07:00 | 24/05/2021
14:00 | 14/12/2021
13:00 | 27/04/2022
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
08:00 | 19/01/2024
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Malwarebytes (Mỹ) đã xác định được phiên bản cập nhật của phần mềm đánh cắp thông tin trên macOS có tên là Atomic Stealer (hoặc AMOS), cho thấy các tác nhân đe dọa phát triển phần mềm độc hại này đang tích cực nâng cao khả năng của nó. Trong bài viết này sẽ xem xét những thay đổi mới nhất của Atomic Stealer và việc phân phối gần đây các quảng cáo độc hại thông qua công cụ tìm kiếm Google.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024