Theo thehackernews, chiến dịch có tên gọi là “Operation Cache Panda” bắt đầu từ cuối tháng 11/2021 và đạt đỉnh điểm trong tháng 2/2022, với các cuộc tấn công được thực hiện bởi nhóm tin tặc APT10, còn được gọi là Stone Panda, MenuPass hay Bronze Riverside. Được biết, nhóm đã hoạt động ít nhất kể từ năm 2009.
Theo đánh giá của công ty an ninh mạng CyCraft (Đài Loan), APT10 là một nhóm tin tặc được chính phủ Trung Quốc bảo trợ và có thể liên quan đến Bộ An ninh Quốc gia Trung Quốc (MSS).
Cách thức thực hiện tấn công của nhóm tin tặc Trung Quốc
Làn sóng tấn công đầu tiên: tháng 11/2021
Vào ngày 25/11/2021, một số tổ chức tài chính và chứng khoán Đài Loan đã thông báo với Sở giao dịch chứng khoán Đài Loan (TWSE) và Ủy ban giám sát tài chính (FSC) rằng, họ sẽ tạm ngừng các giao dịch trực tuyến do một cuộc tấn công mạng xảy ra.
Các cuộc điều tra phản ứng sự cố bảo mật do CyCraft tiến hành đã đưa ra giả thuyết nguyên nhân về vụ tấn công do quản lý sai mật khẩu và tin tặc thực hiện tấn công Credential stuffing. Tuy nhiên, những giả thiết này không được kết luận và cho rằng có thể có còn những nguyên nhân khác.
Làn sóng tấn công thứ 2: tháng 2/2022
Một lần nữa vào giữa tháng 2/2022, cụ thể trong khoảng thời gian từ ngày 10 đến 13/2/2022, một số tổ chức tài chính và giao dịch chứng khoán của Đài Loan tiếp tục trở thành nạn nhân của các cuộc tấn công. Các giải pháp an ninh mạng của Cycraft như Managed Detection and Response (MDR) hay Endpoint Detection and Response (EDR) đã phát hiện ra các tệp đáng ngờ và các sự kiện đăng nhập trên máy chủ của khách hàng.
Phát hiện của CyCraft MDR với tệp thực thi độc hại PresentationCache.exe
Sau quá trình điều tra kỹ lưỡng, CyCraft đã phát hiện một lỗ hổng nghiêm trọng trong phần mềm tài chính, thường được sử dụng hỗ trợ bởi một kỹ thuật tấn công mới được xác định, đó là Reflective Code Loading.
Theo đó, chiến dịch Operation Cache Panda đã khai thác một lỗ hổng an ninh trong giao diện quản lý web của một phần mềm chứng khoán, chiếm hơn 80% thị phần ở Đài Loan. Tin tặc sử dụng lỗi này để triển khai một web shell và hoạt động như một đường dẫn để phân phối Quasar RAT trên hệ thống bị xâm nhập, với mục tiêu đánh cắp thông tin nhạy cảm có giá trị.
Nền tảng CyberTotal Cyber Threat Intelligence phát hiện các hoạt động APT10
Quasar RAT là một trojan truy cập từ xa (RAT) mã nguồn mở công khai được viết bằng .NET. Các tính năng của nó bao gồm chụp ảnh màn hình, ghi lại webcam, chỉnh sửa registry, keylogging và đánh cắp mật khẩu. Ngoài ra, các cuộc tấn công đã lợi dụng một dịch vụ chia sẻ tệp đám mây của Trung Quốc, có tên là “wenshushu.cn” để tải xuống các công cụ phụ trợ.
Tiết lộ này được đưa ra khi Quốc hội Đài Loan, Ủy ban Hành pháp công bố dự thảo sửa đổi luật an ninh quốc gia, nhằm chống lại các nỗ lực gián điệp kinh tế và công nghiệp từ phía Trung Quốc.
Chiến dịch Operation Cache Panda không gây ngạc nhiên lớn, bởi vì các nhóm gián điệp mạng Trung Quốc đã để ý đến Đài Loan trong nhiều năm. Cycraft khuyến cáo đến tất cả các tổ chức, đặc biệt là các công ty tài chính gần đây bị tấn công, cần phải đảm bảo chuỗi cung ứng và cập nhật bản vá cho các lỗ hổng phần mềm sớm nhất có thể.
Đinh Hồng Đạt
13:00 | 04/06/2021
08:00 | 06/04/2022
16:00 | 08/04/2022
08:00 | 18/04/2022
14:00 | 08/02/2021
21:00 | 12/02/2021
15:00 | 13/04/2022
13:00 | 27/04/2022
10:00 | 25/03/2022
07:00 | 21/10/2024
Một nghiên cứu mới đây cho thấy 7 nhãn hiệu ô tô hàng đầu tại Úc đang thu thập và bán dữ liệu về người lái, gây lo ngại về quyền riêng tư. Đặc biệt, Hyundai và Kia bị cáo buộc bán dữ liệu nhận dạng giọng nói cho bên thứ ba để huấn luyện AI.
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
14:00 | 20/08/2024
Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.
14:00 | 02/07/2024
Các nhà nghiên cứu an ninh mạng đã đưa ra chi tiết về một lỗ hổng bảo mật hiện đã được vá ảnh hưởng đến nền tảng cơ sở hạ tầng trí tuệ nhân tạo (AI) nguồn mở Ollama có thể bị khai thác để thực thi mã từ xa (RCE).
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024