Gallium còn có tên gọi khác là Soft Cell nổi tiếng với các cuộc tấn công nhắm mục tiêu vào các công ty viễn thông từ năm 2012. Nhóm tin tặc này được nhà nước hậu thuẫn có liên quan đến một loạt các cuộc tấn công nhắm vào 5 công ty viễn thông lớn ở Đông Nam Á kể từ năm 2017.
Tuy nhiên trong năm 2021, nhóm tin tặc này đã mở rộng phạm vi tấn công, bao gồm các tổ chức tài chính và các tổ chức chính phủ đặt tại Afghanistan, Australia, Bỉ, Campuchia, Malaysia, Mozambique, Philippines, Nga và cả Việt Nam.
Các nhà nghiên cứu cho biết PingPull là backdoor khó phát hiện vì nó sử dụng giao thức bản tin điều khiển Internet (Internet Control Message Protocol - ICMP) cho các giao tiếp lệnh và điều khiển (C&C).
PingPull dựa trên ngôn ngữ Visual C ++, giúp tin tặc có khả năng truy cập vào một reverse shell và chạy các lệnh tùy ý trên một máy chủ bị xâm nhập. Điều này bao gồm thao tác tệp, kiểm tra dung lượng lưu trữ và sửa đổi thuộc tính thời gian của tệp.
Các mẫu PingPull mà sử dụng giao thức ICMP Echo cho việc giao tiếp C&C sẽ giúp các gói truy vấn ICMP Echo (ping) kết nối được đến máy chủ C&C. Máy chủ C&C sau đó sẽ phản hồi các truy vấn Echo này bằng một gói Echo Reply để đưa ra các lệnh cho hệ thống.
Các biến thể PingPull cũng được xác định dựa trên HTTPS và TCP để giao tiếp với máy chủ C&C thay vì giao thức ICMP và hơn 170 địa chỉ IP được liên kết với nhóm tin tặc Gallium từ cuối năm 2020.
Chưa rõ các mạng lưới mục tiêu bị xâm phạm như thế nào, nhưng kẻ tấn công đã khai thác các ứng dụng có kết nối Internet để giành quyền truy cập ban đầu và triển khai phiên bản đã được sửa đổi của web shell Chopper đến từ Trung Quốc nhằm duy trì sự tồn tại trên hệ thống.
Các nhà nghiên cứu lưu ý: “Gallium vẫn là mối đe dọa nguy hiểm đối với các ngành viễn thông, tài chính và các tổ chức chính phủ Đông Nam Á, Châu Âu và Châu Phi. Mặc dù việc sử dụng giao thức ICMP không phải là một kỹ thuật mới, nhưng PingPull khiến cho việc phát hiện các kết nối giao tiếp C&C trở nên khó khăn hơn, vì rất ít tổ chức thực hiện kiểm tra lưu lượng ICMP trên mạng của họ".
Lê Phượng
13:00 | 21/07/2022
15:00 | 28/07/2022
13:00 | 02/08/2022
12:00 | 12/08/2022
18:00 | 16/08/2022
14:00 | 06/06/2022
09:00 | 23/08/2022
13:00 | 24/08/2022
10:00 | 14/06/2022
14:00 | 20/05/2022
14:00 | 31/08/2022
10:00 | 19/08/2022
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
14:00 | 09/11/2023
Vào tháng 8/2023, các nhà nghiên cứu tại nhóm thông tin tình báo về mối đe dọa của công ty an ninh mạng Group-IB (Singapore) đã phát hiện một Trojan Android chưa từng được biết đến trước đây nhắm mục tiêu vào các tổ chức tài chính ngân hàng ở Việt Nam. Các nhà nghiên cứu đặt tên Trojan mới này là GoldDigger để chỉ một hoạt động GoldActivity cụ thể trong tệp APK. Trong bài viết này sẽ đưa ra những phân tích chính về hoạt động của GoldDigger dựa theo báo cáo của Group-IB mới đây.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024