Các chuyên gia Cybereason Nocturnus đã phát hiện ra các mẫu mã độc thuộc bộ công cụ RoyalRoad mới hiện đang được sử dụng trong các cuộc tấn công mạng. Một trong những mẫu mã độc mới này đã làm cho các chuyên gia của Cybereason Nocturnus đặc biệt chú ý, nó sử dụng cửa hậu PortDoor (một loại cửa hậu mới, chưa từng xuất hiện trước đây) ở máy nạn nhân.
Sau khi phân tích và đánh giá mẫu phần mềm độc hại chi tiết hơn, các chuyên gia Cybereason Nocturnus kết luận rằng, việc khai thác và sử dụng bộ công cụ RoyalRoad (8.t Dropper/RTF) với mẫu mới PortDoor đang được các nhóm APT sử dụng theo lợi ích của chính phủ Trung Quốc.
Một trong những mục tiêu được các nhóm APT nhắm đến đó là Trung tâm Thiết kế về Kỹ thuật Hàng hải mang tên Rubin. Đây là một trong những doanh nghiệp lớn của Nga tham gia thiết kế tàu ngầm. Kể từ năm 1938, Trung tâm Thiết kế về Kỹ thuật Hàng hải Rubin đã phối hợp chặt chẽ với lực lượng hải quân Nga. Do vậy, Trung tâm trở thành mục tiêu quan trọng đối với tội phạm mạng liên quan đến chính phủ của các nước.
Trong giai đoạn đầu của cuộc tấn công, các nhóm APT của Trung Quốc sử dụng kỹ thuật Spear Phishing, qua hình thức gửi thư điện tử có chứa mã độc đến ông Igor Vladimirovich Vilnit - Tổng giám đốc của Trung tâm Thiết kế về Kỹ thuật Hàng hải Rubin
Nội dung thư điện tử sử dụng kỹ thuật Spear Phishing
Mã độc nằm trong tệp đính kèm với định dạng RTF, được xây dựng theo bộ công cụ RoyalRoad. Sau khi người dùng tải xuống và mở tệp RTF, một tài liệu Microsoft Word được tạo ra và mở trên máy tính của nạn nhân, khiến cho người dùng không phát hiện rằng mình đang mở và kích hoạt một tệp có chứa phần mềm độc hại.
Nội dung một tệp tin dưới định dạng word
Sau đó, một cửa hậu chưa được biết đến trước đây có tên là winlog.wll được tạo và hoạt động trên máy tính của nạn nhân, cửa hậu này có những tính năng chính sau:
Trong nhiều năm, Royal Road là công cụ được một số nhóm APT Trung Quốc sử dụng thường xuyên (Goblin Panda, Rancor Group, TA428, Tick và Tonto Team). Các nhóm APT này đã sử dụng nó trong các cuộc tấn công lừa đảo có chủ đích từ cuối năm 2018, thông qua việc khai thác các lỗ hổng trong Microsoft Equation Editor (CVE-2017-11882, CVE-2018-0798, CVE-2018-0802) và sử dụng các tài liệu RTF độc hại để phát tán các mềm độc hại xâm nhập vào hệ thống của nạn nhân mà không bị phát hiện.
Nam Trần (theo Anti-malware)
09:00 | 20/08/2020
10:00 | 12/07/2021
14:00 | 24/03/2021
11:00 | 02/08/2021
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
13:00 | 21/11/2023
Fortinet cảnh báo khách hàng về lỗ hổng chèn lệnh nghiêm trọng trong hệ điều hành máy chủ của FortiSIEM, lỗ hông này có thể bị khai thác bởi kẻ tấn công chưa xác thực từ xa để thực thi lệnh qua các truy vấn API tự tạo.
14:00 | 09/11/2023
Vào tháng 8/2023, các nhà nghiên cứu tại nhóm thông tin tình báo về mối đe dọa của công ty an ninh mạng Group-IB (Singapore) đã phát hiện một Trojan Android chưa từng được biết đến trước đây nhắm mục tiêu vào các tổ chức tài chính ngân hàng ở Việt Nam. Các nhà nghiên cứu đặt tên Trojan mới này là GoldDigger để chỉ một hoạt động GoldActivity cụ thể trong tệp APK. Trong bài viết này sẽ đưa ra những phân tích chính về hoạt động của GoldDigger dựa theo báo cáo của Group-IB mới đây.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024