Mặc dù cuộc điều tra vẫn đang diễn ra, tuy nhiên Kaspersky đã công bố một số thông tin về chiến dịch này. Được đặt tên là ShadowHammer, chiến dịch được phát hiện vào tháng 1/2019. Đây là hình thức tấn công chuỗi cung ứng tinh vi liên quan đến ASUS Live Update Utility. Tuy nhiên, trong thực tế chiến dịch này đã bắt nguồn từ tháng 6 - 11/2018 gây ảnh hưởng đến số lượng lớn người dùng.
ASUS Live Update Utility là tiện ích được cài đặt trên hầu hết các máy tính ASUS và được sử dụng để tự động cập nhật một số thành phần như BIOS, UEFI, drivers và ứng dụng. Theo Gartner, ASUS là hãng cung cấp máy tính lớn thứ 5 trên thế giới về doanh số trong năm 2017. Điều này làm cho ASUS trở thành mục tiêu của tin tặc.
Ngày 31/1/2019, Kaspersky đã thông báo cho ASUS về sự việc này. Tuy nhiên, tính tới thời điểm hiện tại, ASUS phủ nhận việc chủ đích phát tán mã độc và cho biết sẽ phát hành thông báo chính thức sau đó. Ước tính tới thời điểm hiện tại, số lượng máy tính bị lây nhiễm đã lên tới 1 triệu máy. Mã độc này được ngụy trang dưới bản cập nhật phần mềm quan trọng, phát tán từ máy chủ của ASUS và được ký bằng chứng thư số hợp lệ từ chính ASUS. Điều này làm cho mã độc dễ dàng vượt qua các phần mềm antivirus. Vì vậy, cuộc tấn công này được đánh giá có mức độ tinh vi hơn cả Shadowpad và CCleaner.
Theo các chuyên gia, mặc dù chưa xác định được động cơ của chiến dịch này, tuy nhiên, dường như tin tặc nhắm vào một số khách hàng cụ thể. Nguyên nhân, mã độc được phát hiện bao gồm hướng dẫn đặc biệt cho 600 máy tính được xác định thông qua các địa chỉ MAC. Sau khi bị lây nhiễm, mã độc sẽ cài thêm các chương trình độc hại khác để can thiệp vào hệ thống. Thông tin chi tiết về chiến dịch này sẽ được Kaspersky công bố tại Hội nghị SAS 2019 tại Singapore.
Hiện tại, Kaspersky đã phát hành 1 công cụ cho phép người dùng xác định máy tính có là mục tiêu tấn công của tin tặc hay không. Người dùng có thể truy cập tại đây và nhập địa chỉ MAC để kiểm tra độ trùng khớp.
Mã độc này được đặt tên Trojan.Win32.ShadowHammer.gen. Một số thông tin định danh về mã độc:
Tên miền và IP:
Các URL phân phối:
Mã băm:
Đây không phải là lần đâu tiên hình thức tấn công này được phát hiện. Trước đó, vào tháng 9/2017, phần mềm dọn dẹp máy tính CCleaner chứa mã độc được phát tán khiến gần 2,3 triệu người dùng bị ảnh hưởng. Khi đó, Avast đã nhanh chóng phát hành phiên bản 5.34 và khuyến cáo tới người dùng cách gỡ bỏ, khôi phục lại hệ thống khi sử dụng phiên bản 5.33.
Trí Công
Theo securelist
15:00 | 02/05/2018
16:00 | 17/05/2019
07:00 | 26/06/2023
14:00 | 22/09/2017
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
Năm 2024, các tác nhân đe dọa được dự báo sẽ tận dụng sức mạnh của trí tuệ nhân tạo (AI) để thực hiện các hoạt động lừa đảo một cách thông minh hơn. Bằng việc sử dụng công nghệ AI tạo sinh, chúng có thể tạo ra các chiến thuật tấn công mới, khó phát hiện và kiểm soát.
16:00 | 18/05/2024