Gallium còn có tên gọi khác là Soft Cell nổi tiếng với các cuộc tấn công nhắm mục tiêu vào các công ty viễn thông từ năm 2012. Nhóm tin tặc này được nhà nước hậu thuẫn có liên quan đến một loạt các cuộc tấn công nhắm vào 5 công ty viễn thông lớn ở Đông Nam Á kể từ năm 2017.
Tuy nhiên trong năm 2021, nhóm tin tặc này đã mở rộng phạm vi tấn công, bao gồm các tổ chức tài chính và các tổ chức chính phủ đặt tại Afghanistan, Australia, Bỉ, Campuchia, Malaysia, Mozambique, Philippines, Nga và cả Việt Nam.
Các nhà nghiên cứu cho biết PingPull là backdoor khó phát hiện vì nó sử dụng giao thức bản tin điều khiển Internet (Internet Control Message Protocol - ICMP) cho các giao tiếp lệnh và điều khiển (C&C).
PingPull dựa trên ngôn ngữ Visual C ++, giúp tin tặc có khả năng truy cập vào một reverse shell và chạy các lệnh tùy ý trên một máy chủ bị xâm nhập. Điều này bao gồm thao tác tệp, kiểm tra dung lượng lưu trữ và sửa đổi thuộc tính thời gian của tệp.
Các mẫu PingPull mà sử dụng giao thức ICMP Echo cho việc giao tiếp C&C sẽ giúp các gói truy vấn ICMP Echo (ping) kết nối được đến máy chủ C&C. Máy chủ C&C sau đó sẽ phản hồi các truy vấn Echo này bằng một gói Echo Reply để đưa ra các lệnh cho hệ thống.
Các biến thể PingPull cũng được xác định dựa trên HTTPS và TCP để giao tiếp với máy chủ C&C thay vì giao thức ICMP và hơn 170 địa chỉ IP được liên kết với nhóm tin tặc Gallium từ cuối năm 2020.
Chưa rõ các mạng lưới mục tiêu bị xâm phạm như thế nào, nhưng kẻ tấn công đã khai thác các ứng dụng có kết nối Internet để giành quyền truy cập ban đầu và triển khai phiên bản đã được sửa đổi của web shell Chopper đến từ Trung Quốc nhằm duy trì sự tồn tại trên hệ thống.
Các nhà nghiên cứu lưu ý: “Gallium vẫn là mối đe dọa nguy hiểm đối với các ngành viễn thông, tài chính và các tổ chức chính phủ Đông Nam Á, Châu Âu và Châu Phi. Mặc dù việc sử dụng giao thức ICMP không phải là một kỹ thuật mới, nhưng PingPull khiến cho việc phát hiện các kết nối giao tiếp C&C trở nên khó khăn hơn, vì rất ít tổ chức thực hiện kiểm tra lưu lượng ICMP trên mạng của họ".
Lê Phượng
13:00 | 21/07/2022
15:00 | 28/07/2022
13:00 | 02/08/2022
12:00 | 12/08/2022
18:00 | 16/08/2022
14:00 | 06/06/2022
09:00 | 23/08/2022
13:00 | 24/08/2022
10:00 | 14/06/2022
14:00 | 20/05/2022
14:00 | 31/08/2022
10:00 | 19/08/2022
10:00 | 24/04/2024
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
13:00 | 13/11/2023
TriangleDB là phần mềm độc hại chính được sử dụng trong chiến dịch Operation Triangulation nhắm vào thiết bị iOS trong các cuộc tấn công zero-click. Bài viết này trình bày chi tiết một khía cạnh quan trọng của cuộc tấn công, bao gồm các module tính năng lén lút được thực hiện bởi các tác nhân đe dọa cùng với những thông tin về các thành phần được sử dụng, dựa trên báo cáo phân tích mới đây của hãng bảo mật Kaspersky.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024