Việt Nam trở thành mục tiêu chính trong cuộc tấn công bằng công cụ truy cập từ xa

17:00 | 07/04/2021 | HACKER / MALWARE

Theo một báo cáo mới nhất ngày 05/4/2021 từ hãng bảo mật Kaspersky, một chiến dịch tấn công khai thác công cụ truy cập từ xa (RAT) được thực hiện bởi một nhóm tin tặc có tên Cycldek (hay còn được gọi là Goblin Panda, APT27 và Conimes) đã nhắm mục tiêu tấn công vào Việt Nam.

Việt Nam trở thành mục tiêu chính trong cuộc tấn công bằng công cụ truy cập từ xa

Thực hiện theo dõi từ tháng 6/2020 đến tháng 1/2021, Kaspersky phát hiện 80% tổ chức bị nhắm mục tiêu có trụ sở đặt tại Việt Nam, hoạt động thuộc chính phủ, quân đội hoặc có liên quan đến y tế, ngoại giao và giáo dục.

Trong lịch sử, nhóm tin tặc Cycldek thường nhắm đến các mục tiêu thuộc chính phủ tại các nước Đông Nam Á. Phần mềm độc hại được sử dụng trong chiến dịch tấn công lần này có tên FoundCore, cho phép tin tặc toàn quyền kiểm soát các máy tính bị xâm nhập và thực hiện các thao tác hệ thống tệp dữ liệu, chụp ảnh màn hình hay thực thi các lệnh tùy ý.

Theo phân tích của Kaspersky, nhóm tin tặc Cycldek đã thực hiện một chuỗi lây nhiễm sử dụng tính năng chuyền tải thư viện liên kết động (DLL side-loading) và chạy một shellcode hoạt động như một bộ tải cho FoundCore để phân phối mã độc hại. Điều này cho phép tin tặc qua mặt các sản phẩm bảo mật và triển khai RAT để cung cấp cho chúng toàn quyền kiểm soát các máy tính. Sau khi triển khai RAT, FoundCore tiếp tục thực hiện quy trình:

Bước 1: FoundCore thiết lập tính bền bỉ bằng cách tạo ra một dịch vụ.

Bước 2: FoundCore sử dụng các thông tin không rõ ràng cho dịch vụ bằng cách thay đổi các trường Description, ImagePath và DisplayName.

Bước 3: FoundCore đặt danh sách kiểm soát truy cập tùy ý (DACL) trống cho hình ảnh được liên kết với quy trình hiện tại để ngăn truy cập vào tệp độc hại cơ bản. DACL là một danh sách nội bộ được đính kèm với một đối tượng trong Active Directory để chỉ định người dùng và nhóm nào có thể truy cập đối tượng, loại hoạt động nào họ có thể thực hiện trên đối tượng.

Cuối cùng, một bootstraps được thực thi và thiết lập kết nối với máy chủ C2. Tùy thuộc vào cấu hình, FoundCore có thể tạo một bản sao của chính nó vào một quy trình khác.

Đáng lưu ý trong chuỗi lây nhiễm, FoundCore tải xuống thêm hai phần mềm gián điệp là DropPhone (giúp thu thập thông tin môi trường từ máy nạn nhân và gửi nó đến DropBox) và CoreLoader (chạy mã giúp phần mềm độc hại tránh bị các sản phẩm bảo mật phát hiện).

Theo nhận định của chuyên gia, các nhóm tin tặc này thường có xu hướng chia sẻ chiến thuật với nhau, vì vậy sẽ có rất nhiều chiến dịch tấn công khác có lối chiến thuật tấn công tương tự. Chính vì vậy các tổ chức, doanh nghiệp, đặc biệt là các cơ quan đơn vị nhà nước cần cập nhật những thông tin mới nhất về các mối đe dọa an ninh mạng để có những biện pháp phòng ngừa kịp thời trước những cuộc tấn công mạng có thể xảy ra.

Quốc Trường

‹ › ×

Tin liên quan

Gootkit RAT sử dụng SEO để phát tán phần mềm độc hại

09:00 | 22/03/2021

Một framework khét tiếng về việc cung cấp những Trojan ngân hàng đã được nâng cấp để triển khai nhiều loại phần mềm độc hại, bao gồm cả ramsomware.

Kaspersky tham gia “Rà soát và bóc gỡ mã độc trên toàn quốc năm 2020”

14:00 | 14/10/2020

Kaspersky vừa thông báo hợp tác với chương trình “Rà soát và bóc gỡ mã độc trên toàn quốc năm 2020” của Bộ Thông tin và truyền thông (TT&TT).

Microsoft cáo buộc các tin tặc Trung Quốc đánh cắp email của khách hàng

13:00 | 09/03/2021

Ngày 02/3/2021, Microsoft đã đưa ra cáo buộc các tin tặc được cho là có nguồn gốc Trung Quốc đã tận dụng sơ hở từ phần mềm của Microsoft để đánh cắp thư điện tử của nhiều nhân vật và công ty quan trọng là khách hàng của Microsoft.

Tin cùng chuyên mục

3 ứng dụng chứa mã độc XploitSPY tồn tại trên Google Play

10:00 | 07/05/2024

Các chuyên gia bảo mật vừa phát hiện 3 ứng dụng có chứa mã độc trên ứng dụng Google Play dành cho Android. Nếu đã cài đặt một trong 3 ứng dụng này, người dùng nên gỡ bỏ ngay để tránh các rủi ro đáng tiếc.

Nhóm tin tặc Việt Nam bị nghi đánh cắp dữ liệu tài chính ở châu Á

10:00 | 24/04/2024

Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.

Phân tích phiên bản mới của phần mềm độc hại RisePro nhắm mục tiêu vào người dùng GitHub

14:00 | 11/04/2024

RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.

Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:00 | 23/02/2024

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.