Nhóm tin tặc này được các nhà nghiên cứu Symantec đặt tên là Sowbug. Nhóm tin tặc đã bí mật tấn công các tổ chức chính sách ngoại giao, cơ quan chính phủ và các cơ sở ngoại giao ở nhiều nước, trong đó có Argentina, Brazil, Ecuador, Peru và Malaysia.
Symantec phát hiện nhóm Sowbug dùng mã độc có tên là Felismus để tấn công và xâm nhập các tổ chức. Được tìm ra lần đầu vào cuối tháng 3/2017, Felismus là một loại Trojan cho phép truy cập từ xa (RAT) tinh vi, có cấu trúc môđun hoá, nên có thể ẩn náu và mở rộng các tính năng.
Mã độc này cho phép kẻ xấu chiếm quyền kiểm soát toàn bộ hệ thống bị lây nhiễm và cũng giống như các loại RAT khác, nó cho phép kẻ xấu liên lạc với máy chủ ở xa, tải xuống và thực thi các lệnh.
Khi phân tích Felismus, các nhà nghiên cứu biết được dấu tích các chiến dịch tấn công trước đó với nhóm Sowbug, điều đó cho thấy, nhóm này đã hoạt động từ khoảng đầu năm 2015 và thậm chí là trước đó.
Báo cáo của Symantec cho biết, Sowbug dường như tập trung vào các cơ quan chính phủ ở Nam Mỹ và Đông Nam Á. Nhóm này có nguồn lực tốt, có khả năng xâm nhập đồng thời nhiều mục tiêu và thường hoạt động ngoài giờ làm việc của các mục tiêu.
Tuy vẫn chưa rõ nhóm Sowbug đã làm thế nào để xâm nhập mạng máy tính của các tổ chức, nhưng qua các bằng chứng thu thập được, các nhà nghiên cứu suy đoán rằng, tin tặc đã sử dụng các bản vá giả của Windows hay Adobe Reader. Các nhà nghiên cứu cũng phát hiện nhóm tin tặc này sử dụng công cụ có tên là Starloader để triển khai mã độc và các công cụ bổ sung như phần mềm thu thập thông tin đăng nhập và keylogger tới mạng của các nạn nhân.
Các nhà nghiên cứu đã tìm thấy bằng chứng các tệp Starloader được phát tán như bản cập nhật phần mềm với những cái tên như AdobeUpdate.exe, AcrobatUpdate.exe, INTELUPDATE.EXE,… Thay vì lây nhiễm vào các phần mềm, Sowbug đặt tên các công cụ của nhóm gần giống với các phần mềm hợp pháp và đặt các công cụ đó vào các thư mục có tên tương tự để đánh lừa người dùng. Mẹo này giúp tin tặc che giấu mã độc và khiến người dùng không nghi ngờ gì.
Nhóm Sowbug đã áp dụng nhiều biện pháp để tránh bị phát hiện như thực hiện các hoạt động gián điệp ngoài giờ hành chính. Trong một trường hợp, nhóm tin tặc đã ẩn mình và không bị phát hiện trong mạng của nạn nhân tới 6 tháng (từ tháng 9/2016 tới tháng 3/2017).
Ngoài thông tin về việc phân phối mã độc Felismus, danh tính của những tin tặc trong nhóm Sowbug vẫn chưa được tìm ra.
(theo The Hacker News)
08:00 | 19/10/2017
09:00 | 25/02/2022
08:08 | 13/07/2017
15:46 | 22/02/2016
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
08:00 | 12/03/2024
Mới đây, các nhà nghiên cứu từ Trung tâm Ứng phó khẩn cấp bảo mật AhnLab - ASEC (Hàn Quốc) phát hiện phần mềm độc hại mới có tên WogRAT, đang được các tác nhân đe dọa triển khai trong các cuộc tấn công lạm dụng nền tảng Notepad trực tuyến có tên là aNotepad để bí mật lưu trữ và truy xuất mã độc trên cả Windows và Linux.
08:00 | 19/01/2024
Các nhà nghiên cứu bảo mật đến từ Công ty an ninh mạng Security Joes (Israel) đã mô tả một cách chi tiết về một biến thể mới của kỹ thuật chiếm quyền điều khiển thứ tự tìm kiếm thư viện liên kết động (DLL) mà các tin tặc có thể sử dụng để vượt qua các cơ chế bảo mật và thực thi mã độc trên các hệ thống chạy Windows 10 và Windows 11.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024