Thực hiện theo dõi từ tháng 6/2020 đến tháng 1/2021, Kaspersky phát hiện 80% tổ chức bị nhắm mục tiêu có trụ sở đặt tại Việt Nam, hoạt động thuộc chính phủ, quân đội hoặc có liên quan đến y tế, ngoại giao và giáo dục.
Trong lịch sử, nhóm tin tặc Cycldek thường nhắm đến các mục tiêu thuộc chính phủ tại các nước Đông Nam Á. Phần mềm độc hại được sử dụng trong chiến dịch tấn công lần này có tên FoundCore, cho phép tin tặc toàn quyền kiểm soát các máy tính bị xâm nhập và thực hiện các thao tác hệ thống tệp dữ liệu, chụp ảnh màn hình hay thực thi các lệnh tùy ý.
Theo phân tích của Kaspersky, nhóm tin tặc Cycldek đã thực hiện một chuỗi lây nhiễm sử dụng tính năng chuyền tải thư viện liên kết động (DLL side-loading) và chạy một shellcode hoạt động như một bộ tải cho FoundCore để phân phối mã độc hại. Điều này cho phép tin tặc qua mặt các sản phẩm bảo mật và triển khai RAT để cung cấp cho chúng toàn quyền kiểm soát các máy tính. Sau khi triển khai RAT, FoundCore tiếp tục thực hiện quy trình:
Bước 1: FoundCore thiết lập tính bền bỉ bằng cách tạo ra một dịch vụ.
Bước 2: FoundCore sử dụng các thông tin không rõ ràng cho dịch vụ bằng cách thay đổi các trường Description, ImagePath và DisplayName.
Bước 3: FoundCore đặt danh sách kiểm soát truy cập tùy ý (DACL) trống cho hình ảnh được liên kết với quy trình hiện tại để ngăn truy cập vào tệp độc hại cơ bản. DACL là một danh sách nội bộ được đính kèm với một đối tượng trong Active Directory để chỉ định người dùng và nhóm nào có thể truy cập đối tượng, loại hoạt động nào họ có thể thực hiện trên đối tượng.
Cuối cùng, một bootstraps được thực thi và thiết lập kết nối với máy chủ C2. Tùy thuộc vào cấu hình, FoundCore có thể tạo một bản sao của chính nó vào một quy trình khác.
Đáng lưu ý trong chuỗi lây nhiễm, FoundCore tải xuống thêm hai phần mềm gián điệp là DropPhone (giúp thu thập thông tin môi trường từ máy nạn nhân và gửi nó đến DropBox) và CoreLoader (chạy mã giúp phần mềm độc hại tránh bị các sản phẩm bảo mật phát hiện).
Theo nhận định của chuyên gia, các nhóm tin tặc này thường có xu hướng chia sẻ chiến thuật với nhau, vì vậy sẽ có rất nhiều chiến dịch tấn công khác có lối chiến thuật tấn công tương tự. Chính vì vậy các tổ chức, doanh nghiệp, đặc biệt là các cơ quan đơn vị nhà nước cần cập nhật những thông tin mới nhất về các mối đe dọa an ninh mạng để có những biện pháp phòng ngừa kịp thời trước những cuộc tấn công mạng có thể xảy ra.
Quốc Trường
09:00 | 22/03/2021
14:00 | 14/10/2020
13:00 | 09/03/2021
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
21:00 | 16/11/2023
Các nhà nghiên cứu bảo mật của công ty an ninh mạng CrowdStrike cho biết đã phát hiện một chiến dịch tấn công mạng mới được thực hiện bởi nhóm tin tặc Imperial Kitten, với các mục tiêu nhắm vào các công ty trong lĩnh vực vận tải, hậu cần và công nghệ của Israel.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
