Theo Microsoft, nhóm tin tặc Diamond Sleet (Zinc) đã thực hiện chiến dịch tấn công này. Trước đây, Diamond Sleet được biết đến là một nhánh của nhóm Lazarus khét tiếng, nhóm tin tặc này đã tiến hành các cuộc tấn công nhằm đánh cắp dữ liệu, gián điệp, phá hủy và thu lợi tài chính.
Các nhà nghiên cứu của công ty tình báo mối đe dọa mạng Mandiant thuộc sở hữu của Google đã lưu ý vào tháng trước: “Mục tiêu của Diamond Sleet là thu thập thông tin tình báo chiến lược và nhắm vào các tổ chức chính phủ, quốc phòng, viễn thông và tài chính trên toàn thế giới.”
Gã khổng lồ công nghệ cho biết gần đây Diamond Sleet đã nhắm mục tiêu vào CyberLink Corp, một công ty phần mềm có trụ sở tại Đài Loan chuyên về các ứng dụng chỉnh sửa âm thanh, video và ảnh.
Các tin tặc đã xâm phạm hệ thống của công ty và sửa đổi trình cài đặt ứng dụng hợp pháp. Chúng đã thêm mã độc được thiết kế để tải xuống, giải mã và tải payload giai đoạn hai. Phiên bản độc hại của trình cài đặt đã được ký bằng chứng chỉ CyberLink hợp lệ và được lưu trữ trên cơ sở hạ tầng cập nhật do công ty này sở hữu, đồng thời bao gồm các bước kiểm tra để giới hạn khoảng thời gian thực thi và bỏ qua sự phát hiện của các sản phẩm bảo mật.
Microsoft bắt đầu nhận thấy hoạt động liên quan đến trình cài đặt độc hại này vào ngày 20/10, chiến dịch này ước tính đã tác động đến hơn 100 thiết bị trên khắp Nhật Bản, Đài Loan, Canada và Mỹ.
Công ty theo dõi phần mềm độc hại dưới dạng LambLoad. Mối đe dọa này được thiết kế để kiểm tra máy chủ bị xâm nhập xem có phần mềm bảo mật từ CrowdStrike, FireEye và Tanium hay không trước khi thực thi mã độc - chỉ ứng dụng CyberLink hợp pháp mới được chạy nếu phát hiện thấy các sản phẩm bảo mật đó.
Microsoft lưu ý rằng các tin tặc được biết đến là có khả năng đánh cắp dữ liệu nhạy cảm từ nạn nhân, xâm phạm môi trường xây dựng phần mềm, chuyển tiếp sang các nạn nhân khác và thiết lập quyền truy cập liên tục. Đồng thời, hãng cũng đã cung cấp các chỉ báo liên quan về sự xâm phạm (IoC) để giúp các tổ chức có thể phát hiện hoạt động của Diamond Sleet trên mạng của họ.
Tháng trước, Microsoft cũng cáo buộc Diamond Sleet khai thác lỗ hổng bảo mật nghiêm trọng trong JetBrains TeamCity (CVE-2023-42793, điểm CVSS: 9,8) để xâm phạm các máy chủ dễ bị tấn công và triển khai một backdoor có tên ForestTiger.
Sự gia tăng các cuộc tấn công chuỗi cung ứng phần mềm do các tác nhân đe dọa Triều Tiên thực hiện nhắm vào 3CX, MagicLine4NX, JumpCloud và CyberLink cho thấy sự cảnh báo về mức độ phức tạp và tần suất ngày càng tăng của các cuộc tấn công như vậy, kêu gọi các tổ chức áp dụng các biện pháp an ninh nhằm giảm thiểu khả năng bị xâm phạm.
Các nhà nghiên cứu cho biết: “Các tin tặc đã lợi dụng các lỗ hổng zero-day và khai thác trong phần mềm của bên thứ ba để có quyền truy cập vào các mục tiêu cụ thể hoặc các tổ chức thông qua chuỗi cung ứng của họ”.
Dương Ngân
(Tổng hợp)
17:00 | 08/11/2023
09:00 | 06/03/2024
12:00 | 25/10/2023
07:00 | 16/01/2024
16:00 | 03/08/2023
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
16:00 | 18/12/2023
Các nhà nghiên cứu từ công ty bảo mật chuỗi cung ứng Binarly cho biết lỗ hổng firmware có tên gọi là LogoFAIL có thể ảnh hưởng đến 95% máy tính, cho phép tin tặc vượt qua cơ chế bảo vệ Secure Boot và thực thi phần mềm độc hại trong quá trình khởi động. Các lỗ hổng xuất phát từ trình phân tích cú pháp hình ảnh được sử dụng trong firmware hệ thống UEFI để tải hình ảnh logo trên màn hình khởi động.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024