Các nhà nghiên cứu quy kết cuộc tấn công này được thực hiện bởi nhóm tin tặc Blackwood, nhóm này đã hoạt động ít nhất kể từ năm 2018. Tin tặc đã sử dụng các cuộc tấn công AitM (Adversary in the Middle) để triển khai mã độc NSPX30 thông qua các bản cập nhật phần mềm phổ biến tại Trung Quốc như Sogou Pinyin, Tencent QQ và WPS Office.
Hình 1. Chuỗi lây nhiễm mã độc NSPX30
Mã độc NSPX30 bao gồm backdoor, dropper, trình cài đặt, trình tải và bộ điều phối, đồng thời có thể ẩn vị trí máy chủ điều khiển và ra lệnh (C2) thông qua việc chặn lưu lượng truy cập nhằm lẩn tránh phát hiện. NSPX30 được các tin tặc sử dụng để tấn công tới các mục tiêu cá nhân, tổ chức tại Trung Quốc và Nhật Bản, trong đó có một doanh nghiệp sản xuất và kinh doanh ở Trung Quốc cũng như một công ty sản xuất của Nhật Bản.
Hình 2. Phân bổ vị trí của các nạn nhân
ESET cho biết, mã độc NSPX30 dường như là phiên bản kế thừa của backdoor có tên là Project Wood, đóng vai trò là cơ sở mã cho nhiều phần mềm độc hại khác nhau, bao gồm cả mã độc DCM vào năm 2008 (còn gọi là Dark Spectre), mà NSPX30 có nguồn gốc từ đó.
Báo cáo công khai về Project Wood cho thấy rằng backdoor này đã từng được các tin tặc sử dụng trong một số cuộc tấn công trước đây, bao gồm cả vụ việc nhắm vào một nhân vật chính trị ở Hồng Kông thông qua kỹ thuật tấn công Spearphishing vào năm 2011. Phần mềm độc hại có một trình tải và một backdoor có thể thu thập thông tin chi tiết về hệ thống và mạng, ghi lại các lần thao tác bàn phím và chụp ảnh màn hình.
Tương tự như DCM, NSPX30 dựa vào các cuộc tấn công AitM để phân phối các payload độc hại và có thể vượt qua được một số giải pháp chống phần mềm độc hại của Trung Quốc. Tuy nhiên, mã độc này có cấu hình thành phần khác, với các hoạt động được chia thành hai giai đoạn, trong khi đó mã của DCM được chia thành các thành phần nhỏ hơn.
Theo ESET, Blackwood có khả năng triển khai payload độc hại trên hệ thống mạng của nạn nhân, có thể trên các bộ định tuyến và cổng dễ bị tấn công, sau đó sử dụng nó để chặn lưu lượng HTTP không được mã hóa liên quan đến các bản cập nhật và thay vào đó cung cấp NSPX30 dropper.
Khi được khởi chạy, backdoor sẽ tạo ra một UDP socket lắng nghe thụ động với một cổng do hệ điều hành chỉ định. Cổng tương tự có thể được sử dụng cho cả việc nghe lệnh và lọc dữ liệu, với payload chịu trách nhiệm cho việc chuyển tiếp các gói tin.
Nguyễn Hữu Hưng
(Tổng hợp)
10:00 | 05/10/2023
09:00 | 06/03/2024
17:00 | 11/08/2023
09:00 | 01/04/2024
15:00 | 19/02/2024
10:00 | 21/02/2024
10:00 | 07/04/2023
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
