Các chuyên gia Cybereason Nocturnus đã phát hiện ra các mẫu mã độc thuộc bộ công cụ RoyalRoad mới hiện đang được sử dụng trong các cuộc tấn công mạng. Một trong những mẫu mã độc mới này đã làm cho các chuyên gia của Cybereason Nocturnus đặc biệt chú ý, nó sử dụng cửa hậu PortDoor (một loại cửa hậu mới, chưa từng xuất hiện trước đây) ở máy nạn nhân.
Sau khi phân tích và đánh giá mẫu phần mềm độc hại chi tiết hơn, các chuyên gia Cybereason Nocturnus kết luận rằng, việc khai thác và sử dụng bộ công cụ RoyalRoad (8.t Dropper/RTF) với mẫu mới PortDoor đang được các nhóm APT sử dụng theo lợi ích của chính phủ Trung Quốc.
Một trong những mục tiêu được các nhóm APT nhắm đến đó là Trung tâm Thiết kế về Kỹ thuật Hàng hải mang tên Rubin. Đây là một trong những doanh nghiệp lớn của Nga tham gia thiết kế tàu ngầm. Kể từ năm 1938, Trung tâm Thiết kế về Kỹ thuật Hàng hải Rubin đã phối hợp chặt chẽ với lực lượng hải quân Nga. Do vậy, Trung tâm trở thành mục tiêu quan trọng đối với tội phạm mạng liên quan đến chính phủ của các nước.
Trong giai đoạn đầu của cuộc tấn công, các nhóm APT của Trung Quốc sử dụng kỹ thuật Spear Phishing, qua hình thức gửi thư điện tử có chứa mã độc đến ông Igor Vladimirovich Vilnit - Tổng giám đốc của Trung tâm Thiết kế về Kỹ thuật Hàng hải Rubin
Nội dung thư điện tử sử dụng kỹ thuật Spear Phishing
Mã độc nằm trong tệp đính kèm với định dạng RTF, được xây dựng theo bộ công cụ RoyalRoad. Sau khi người dùng tải xuống và mở tệp RTF, một tài liệu Microsoft Word được tạo ra và mở trên máy tính của nạn nhân, khiến cho người dùng không phát hiện rằng mình đang mở và kích hoạt một tệp có chứa phần mềm độc hại.
Nội dung một tệp tin dưới định dạng word
Sau đó, một cửa hậu chưa được biết đến trước đây có tên là winlog.wll được tạo và hoạt động trên máy tính của nạn nhân, cửa hậu này có những tính năng chính sau:
Trong nhiều năm, Royal Road là công cụ được một số nhóm APT Trung Quốc sử dụng thường xuyên (Goblin Panda, Rancor Group, TA428, Tick và Tonto Team). Các nhóm APT này đã sử dụng nó trong các cuộc tấn công lừa đảo có chủ đích từ cuối năm 2018, thông qua việc khai thác các lỗ hổng trong Microsoft Equation Editor (CVE-2017-11882, CVE-2018-0798, CVE-2018-0802) và sử dụng các tài liệu RTF độc hại để phát tán các mềm độc hại xâm nhập vào hệ thống của nạn nhân mà không bị phát hiện.
Nam Trần (theo Anti-malware)
09:00 | 20/08/2020
10:00 | 12/07/2021
14:00 | 24/03/2021
11:00 | 02/08/2021
14:00 | 24/04/2024
Europol đưa ra thông báo, nền tảng cung cấp dịch vụ lừa đảo (PhaaS) LabHost vừa bị triệt phá trong chiến dịch kéo dài 1 năm của các nhà hành pháp toàn cầu, 37 nghi phạm bị bắt giữ.
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024