Theo thehackernews, chiến dịch có tên gọi là “Operation Cache Panda” bắt đầu từ cuối tháng 11/2021 và đạt đỉnh điểm trong tháng 2/2022, với các cuộc tấn công được thực hiện bởi nhóm tin tặc APT10, còn được gọi là Stone Panda, MenuPass hay Bronze Riverside. Được biết, nhóm đã hoạt động ít nhất kể từ năm 2009.
Theo đánh giá của công ty an ninh mạng CyCraft (Đài Loan), APT10 là một nhóm tin tặc được chính phủ Trung Quốc bảo trợ và có thể liên quan đến Bộ An ninh Quốc gia Trung Quốc (MSS).
Cách thức thực hiện tấn công của nhóm tin tặc Trung Quốc
Làn sóng tấn công đầu tiên: tháng 11/2021
Vào ngày 25/11/2021, một số tổ chức tài chính và chứng khoán Đài Loan đã thông báo với Sở giao dịch chứng khoán Đài Loan (TWSE) và Ủy ban giám sát tài chính (FSC) rằng, họ sẽ tạm ngừng các giao dịch trực tuyến do một cuộc tấn công mạng xảy ra.
Các cuộc điều tra phản ứng sự cố bảo mật do CyCraft tiến hành đã đưa ra giả thuyết nguyên nhân về vụ tấn công do quản lý sai mật khẩu và tin tặc thực hiện tấn công Credential stuffing. Tuy nhiên, những giả thiết này không được kết luận và cho rằng có thể có còn những nguyên nhân khác.
Làn sóng tấn công thứ 2: tháng 2/2022
Một lần nữa vào giữa tháng 2/2022, cụ thể trong khoảng thời gian từ ngày 10 đến 13/2/2022, một số tổ chức tài chính và giao dịch chứng khoán của Đài Loan tiếp tục trở thành nạn nhân của các cuộc tấn công. Các giải pháp an ninh mạng của Cycraft như Managed Detection and Response (MDR) hay Endpoint Detection and Response (EDR) đã phát hiện ra các tệp đáng ngờ và các sự kiện đăng nhập trên máy chủ của khách hàng.
Phát hiện của CyCraft MDR với tệp thực thi độc hại PresentationCache.exe
Sau quá trình điều tra kỹ lưỡng, CyCraft đã phát hiện một lỗ hổng nghiêm trọng trong phần mềm tài chính, thường được sử dụng hỗ trợ bởi một kỹ thuật tấn công mới được xác định, đó là Reflective Code Loading.
Theo đó, chiến dịch Operation Cache Panda đã khai thác một lỗ hổng an ninh trong giao diện quản lý web của một phần mềm chứng khoán, chiếm hơn 80% thị phần ở Đài Loan. Tin tặc sử dụng lỗi này để triển khai một web shell và hoạt động như một đường dẫn để phân phối Quasar RAT trên hệ thống bị xâm nhập, với mục tiêu đánh cắp thông tin nhạy cảm có giá trị.
Nền tảng CyberTotal Cyber Threat Intelligence phát hiện các hoạt động APT10
Quasar RAT là một trojan truy cập từ xa (RAT) mã nguồn mở công khai được viết bằng .NET. Các tính năng của nó bao gồm chụp ảnh màn hình, ghi lại webcam, chỉnh sửa registry, keylogging và đánh cắp mật khẩu. Ngoài ra, các cuộc tấn công đã lợi dụng một dịch vụ chia sẻ tệp đám mây của Trung Quốc, có tên là “wenshushu.cn” để tải xuống các công cụ phụ trợ.
Tiết lộ này được đưa ra khi Quốc hội Đài Loan, Ủy ban Hành pháp công bố dự thảo sửa đổi luật an ninh quốc gia, nhằm chống lại các nỗ lực gián điệp kinh tế và công nghiệp từ phía Trung Quốc.
Chiến dịch Operation Cache Panda không gây ngạc nhiên lớn, bởi vì các nhóm gián điệp mạng Trung Quốc đã để ý đến Đài Loan trong nhiều năm. Cycraft khuyến cáo đến tất cả các tổ chức, đặc biệt là các công ty tài chính gần đây bị tấn công, cần phải đảm bảo chuỗi cung ứng và cập nhật bản vá cho các lỗ hổng phần mềm sớm nhất có thể.
Đinh Hồng Đạt
13:00 | 04/06/2021
08:00 | 06/04/2022
16:00 | 08/04/2022
08:00 | 18/04/2022
14:00 | 08/02/2021
21:00 | 12/02/2021
15:00 | 13/04/2022
13:00 | 27/04/2022
10:00 | 25/03/2022
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
