Trong một báo cáo ngày 07/11/2023 của Đơn vị 42 cho biết, các hoạt động của các nhóm tin tặc Trung Quốc được cho là một phần của chiến dịch gián điệp dài hạn. Các hoạt động được quan sát phù hợp với các mục tiêu địa chính trị của chính phủ Trung Quốc khi nước này đang tận dụng mối quan hệ bền chặt với Campuchia để phô trương sức mạnh và mở rộng hoạt động hải quân trong khu vực.
Các tổ chức bị nhóm tin tặc nhắm mục tiêu bao gồm: quốc phòng, giám sát bầu cử, nhân quyền, kho bạc, tài chính quốc gia, thương mại, chính trị, tài nguyên thiên nhiên và viễn thông. Tất cả những mục tiêu này đều chứa một lượng lớn dữ liệu nhạy cảm như: dữ liệu tài chính, thông tin nhận dạng cá nhân, thông tin mật của chính phủ.
Các nhà nghiên cứu tin rằng cơ sở hạ tầng của tin tặc đang chạy honeypot Cowrie trên cổng 2222 và chúng có thể đang sử dụng honeypot này làm vỏ bọc để đánh lừa những người bảo vệ mạng và các nhà nghiên cứu đang điều tra hoạt động bất thường. Cụ thể, Đơn vị 42 quan sát thấy việc lọc IP trên cơ sở hạ tầng này và chặn các kết nối sau:
Các nhóm tin tặc này đang thực hiện lọc các kết nối đến cơ sở hạ tầng độc hại để giảm thiểu nguy cơ máy chủ điều khiển và kiểm soát (C2) bị máy quét IP phát hiện hoặc bị các nhà nghiên cứu an ninh mạng xác định. Đơn vị 42 cũng quan sát thấy các cổng C2 mở trong thời gian hoạt động của tác nhân đe dọa và đóng vào mọi thời điểm khác. Một số tên miền của máy chủ C2 được phát hiện cụ thể:
Mối liên hệ của nhóm tin tắc với chính phủ Trung Quốc được các nhà nghiên cứu quan sát thông qua thời gian hoạt động vào giờ làm việc bình thường của Trung Quốc và có dấu hiệu giảm vào cuối tháng 9 và đầu tháng 10/2023 - trùng với kỳ nghỉ lễ quốc khánh của nước này trước khi tiếp tục tăng trở lại sau ngày 9/10/2023.
Mô hình hoạt động tấn công của tin tặc và độ chênh lệch vào ngày quốc khánh của Trung Quốc
Các nhóm tin tặc có liên kết với Trung Quốc như: Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat và UNC4191 đã phát động một loạt chiến dịch gián điệp nhắm vào các khu vực công và tư nhân trên khắp châu Á trong những tháng gần đây. Tháng trước, Elastic Security Labs đã trình bày chi tiết về một bộ xâm nhập có tên mã REF5961 được phát hiện lợi dụng các backdoor tùy chỉnh như EAGERBEE, RUDEBIRD, DOWNTOWN và BLOODALCHEMY trong các cuộc tấn công nhắm vào các quốc gia trong ASEAN.
Kể từ đầu năm 2021, các nhóm tin tặc do nhà nước Trung Quốc bảo trợ đã bị cáo buộc khai thác 23 lỗ hổng zero-day, bao gồm các lỗ hổng được xác định trong Microsoft Exchange Server, Solarwinds Serv-U, Sophos Tường lửa, Fortinet FortiOS, Barracuda Email Security Gateway và Atlassian. Các hoạt động mạng do nhà nước Trung Quốc bảo trợ đã phát triển từ hành vi trộm cắp tài sản trí tuệ trên diện rộng sang cách tiếp cận có mục tiêu hơn nhằm hỗ trợ các mục tiêu chiến lược, kinh tế và địa chính trị cụ thể.
TÀI LIỆU THAM KHẢO https://unit42.paloaltonetworks.com/chinese-apt-linked-to-cambodia-government-attacks/ https://thehackernews.com/2023/11/chinese-hackers-launch-covert-espionage.html |
Quốc Trường
08:00 | 04/12/2023
10:00 | 07/11/2023
14:00 | 08/11/2023
09:00 | 06/03/2024
17:00 | 08/11/2023
09:00 | 01/04/2024
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
17:00 | 21/12/2023
Mới đây, nhóm Nghiên cứu và Phân tích Toàn cầu của Kaspersky phát hiện một chiến dịch gián điệp mạng đang nhắm mục tiêu đánh cắp dữ liệu lưu trữ trên các thiết bị USB an toàn sử dụng trong các cơ quan, tổ chức chính phủ các nước Châu Á - Thái Bình dương (APAC).
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024