Công ty an ninh mạng Volexity (Hoa Kỳ) đã phát hiện phần mềm độc hại này đến từ một nhóm tin tặc có tên gọi là SharpTongue, nhóm này được cho là có nhiều điểm tương đồng với một nhóm gián điệp mạng có trụ sở tại Triều Tiên được gọi công khai dưới cái tên Kimsuky.
Lịch sử hoạt động của SharpTongue gồm các tin tặc làm việc cho các tổ chức ở Hoa Kỳ, châu Âu và Hàn Quốc về các chủ đề liên quan đến Triều Tiên, các vấn đề hạt nhân, hệ thống vũ khí và các vấn đề chiến lược khác mà Triều Tiên quan tâm.
Việc SharpTongue sử dụng các tiện ích mở rộng (plugin) giả mạo trong các cuộc tấn công không phải là điều mới. Vào năm 2018, một tin tặc đã bị phát hiện sử dụng một plugin của Chrome như một phần của chiến dịch có tên Stolen Pencil để lây nhiễm cho nạn nhân và đánh cắp cookie và mật khẩu của trình duyệt.
Điểm khác biệt ở chiến dịch này là plugin có tên Sharpext nhắm mục tiêu đánh cắp dữ liệu email. Các nhà nghiên cứu của Volexity cho biết: "Phần mềm độc hại trực tiếp kiểm tra và lấy dữ liệu từ tài khoản email của nạn nhân khi họ sử dụng trình duyệt".
Hình 1. Quy trình tấn công plugin Sharpext
Các trình duyệt được nhắm mục tiêu bao gồm trình duyệt Google Chrome, Microsoft Edge và Naver's Whale với phần mềm độc hại đánh cắp email được thiết kế để thu thập thông tin từ các phiên Gmail và AOL.
Việc cài đặt tiện ích bổ sung được thực hiện bằng cách thay thế các tệp tùy chọn và tùy chọn bảo mật của trình duyệt bằng các tệp nhận được từ máy chủ điều khiển từ xa.
Hình 2. Mã nguồn sử dụng để tải xuống và cài đặt plugin độc hại
Hình 3. Mã nguồn xác định các yêu cầu có liên quan
Nhóm tin tặc SharpTongue khai thác thành công bằng cách bật bảng DevTools trong tab đang hoạt động, để lấy cắp email và tệp đính kèm từ hộp thư của người dùng, đồng thời thực hiện các bước để ẩn bất kỳ thông báo nào về việc chạy tiện ích mở rộng chế độ nhà phát triển.
Volexity đã mô tả chiến dịch là khá thành công, với lý do tin tặc có khả năng đánh cắp hàng nghìn email từ nhiều nạn nhân thông qua việc triển khai plugin độc hại.
Các nhà nghiên cứu cho biết: “Đây là lần đầu tiên Volexity quan sát thấy các plugin độc hại trên trình duyệt được sử dụng như một phần của giai đoạn hậu khai thác. Bằng cách đánh cắp dữ liệu email trong bối cảnh phiên đã đăng nhập của người dùng. Do đó, cuộc tấn công được ẩn khỏi nhà cung cấp email, khiến việc phát hiện trở nên rất khó khăn".
Các phát hiện được đưa ra vài tháng sau khi các tin tặc của nhóm Kimsuky có liên quan đến các cuộc xâm nhập chống lại các tổ chức chính trị ở Nga và Hàn Quốc để cung cấp phiên bản cập nhật của trojan truy cập từ xa được gọi là Konni.
Trước đó vào trung tuần tháng 7/2022, công ty an ninh mạng Securonix (Hoa Kỳ) đã cung cấp thông tin chi tiết của một loạt các cuộc tấn công đang diễn ra nhằm khai thác các mục tiêu có giá trị cao, nhắm vào Cộng hòa Séc, Ba Lan và các quốc gia khác như một phần của chiến dịch có tên mã STIFF # BIZON nhằm phát tán phần mềm độc hại Konni.
Mặc dù, chiến thuật và công cụ được sử dụng trong các cuộc tấn công chỉ ra mối liên hệ với một nhóm tin tặc của Triều Tiên có tên APT37, nhưng bằng chứng thu thập được liên quan đến cơ sở hạ tầng tấn công cho thấy có sự tham gia của nhóm tin tặc APT28 (hay còn gọi là Fancy Bear hoặc Sofacy) liên quan đến Nga.
Các nhà nghiên cứu cho biết: “Điều làm cho cuộc tấn công này trở nên thú vị là việc sử dụng phần mềm độc hại Konni kết hợp với các điểm tương đồng về phương thức hoạt động với APT28. Tuy nhiên, không loại trừ khả năng việc một nhóm tin tặc giả mạo để gây nhầm lẫn giữa việc phân bổ khu vực hoạt động và ẩn danh".
Nguyệt Thu
(theo thehackernews)
17:00 | 23/07/2020
14:00 | 14/12/2022
11:45 | 23/12/2014
14:00 | 21/11/2022
12:00 | 25/08/2022
10:00 | 03/10/2022
16:00 | 03/08/2023
10:00 | 19/09/2022
12:00 | 25/10/2023
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
