Theo Công ty An ninh mạng Mandiant (thuộc Tập đoàn Google, Mỹ), nhóm tin tặc có tên gọi là UNC4841, có khả năng đối phó trước các giải pháp bảo mật. Ngoài ra, chúng có thể chủ động điều chỉnh phương thức hoạt động để duy trì quyền truy cập liên tục vào các mục tiêu. UNC4841 hoạt động chủ yếu mục tiêu nhắm vào cơ quan, tổ chức chính phủ ở Mỹ và Canada.
“UNC4841 triển khai phần mềm độc hại mới và được thiết kế để duy trì sự hiện diện ở một nhóm nhỏ các mục tiêu có mức độ ưu tiên cao mà nó đã xâm phạm trước khi bản vá được phát hành, hoặc ngay sau hướng dẫn khắc phục của Công ty An ninh mạng Barracuda (Barracuda Networks)”, công ty tình báo mối đe dọa của Google cho biết.
Gần một phần ba các tổ chức bị ảnh hưởng được xác định là các cơ quan Chính phủ Mỹ. Các chiến dịch tấn công khai thác lỗ hổng CVE-2023-2868 để triển khai phần mềm độc hại. Trong một số trường hợp chọn lọc, các cuộc xâm nhập dẫn đến việc triển khai thêm phần mềm độc hại, chẳng hạn như “Submarine” (còn gọi là “Depthcharge”), để duy trì tính ổn định nhằm đáp ứng các nỗ lực khắc phục.
Lỗ hổng CVE-2023-2868 bị khai thác từ cuối năm 2022, tuy nhiên lỗ hổng này chỉ được biết đến rộng rãi vào tháng 5/2023. Công ty An ninh mạng Barracuda đã phát hành một bản cập nhật bảo mật ngay sau đó, đồng thời tuyên bố rằng không có hoạt động khai thác lỗ hổng nào kể từ bản vá. Tuy nhiên, Cục điều tra Liên bang Mỹ (FBI) lại đưa ra cảnh báo rằng một số thiết bị tồn tại nguy cơ bị tấn công, khuyến nghị các tổ chức bị xâm nhập nên thay thế các thiết bị dễ bị ảnh hưởng.
Phân tích kỹ hơn về chiến dịch, các nhà nghiên cứu an ninh mạng cho biết có sự sụt giảm rõ rệt trong hoạt động của các tin tặc kể từ ngày 20/1 đến ngày 22/1/2023, trùng với thời điểm bắt đầu Tết Nguyên đán. Ngay sau đó là hai đợt tăng đột biến, một là sau thông báo công khai của công ty Barracuda vào ngày 23/5/2023 và lần thứ hai vào đầu tháng 6/2023.
Theo Công ty An ninh mạng Mandiant, UNC4841 đã cố gắng duy trì quyền truy cập vào các môi trường bị xâm nhập thông qua việc triển khai các họ phần mềm độc hại mới Skipjack, Depthcharge, Foxglove/Foxtrot. Trong khi Skipjack là một phần mềm thụ động đăng ký trình lắng nghe cho các tiêu đề và chủ đề email được gửi đến trước khi giải mã và khởi chạy nội dung của chúng, thì Depthcharge được tải sẵn vào daemon Barracuda SMTP (BSMTP) bằng cách sử dụng biến môi trường LD_PRELOAD và truy xuất các lệnh được mã hóa để thực thi.
Hình 1. Chuỗi thực thi Depthcharge
Tin tặc bắt đầu sử dụng Depthcharge từ ngày 30/5/2023, chỉ vài ngày sau khi công ty Barracuda Networks công bố lỗ hổng này. Theo Công ty An ninh mạng Mandiant ước tính khoảng 2,64% trong tổng số thiết bị bị xâm nhập bị lây nhiễm Depthcharge. Các nạn nhân bao gồm các cơ quan, tổ chức của Chính phủ Mỹ và các nhà cung cấp công nghệ thông tin, công nghệ cao.
Hình 2. Hoạt động UNC4841 được xác định (màu xanh) và nạn nhân (màu đỏ) trong suốt thời gian của chiến dịch
Loại phần mềm độc hại thứ ba và cũng được phân phối có chọn lọc tới các mục tiêu, là Foxtrot - một loại phần mềm biên dịch với ngôn ngữ C++ được khởi chạy bằng chương trình dựa trên C có tên là “Foxglove”. Phần mềm Foxtrot giao tiếp qua TCP, đi kèm với các tính năng để theo dõi các thao tác bàn phím, chạy lệnh shell và truyền tệp.
Hơn thế nữa, Foxtrot có điểm chung với một rootkit mã nguồn mở có tên Reptile, bộ công cụ này đã được nhiều nhóm tin tặc Trung Quốc sử dụng rộng rãi trong những tháng gần đây. Trong đó có nhóm tin tặc UNC3886 - một tác nhân đe dọa có liên quan đến việc khai thác lỗ hổng zero-day có mức độ nghiêm trọng trung bình hiện đã được vá trong hệ điều hành Fortinet FortiOS.
Hình 3. Các tổ chức bị ảnh hưởng theo khu vực
Các nhà nghiên cứu cho biết: “Điều đặc biệt ở Foxtrot và Foxglove ở chỗ chúng là những dòng phần mềm độc hại duy nhất được UNC4841 sử dụng và không được thiết kế riêng cho thiết bị này để bảo vệ hệ thống email trước các mối đe dọa tấn công mạng của công ty Barracuda (ESG Barracuda). Dựa trên chức năng đó, Foxtrot có thể triển khai cho các thiết bị dựa trên Linux khác trong mạng để mở rộng khả năng xâm nhập và đánh cắp thông tin xác thực”.
Đáng lưu ý, Foxglove và Foxtrot được triển khai có chọn lọc nhất trong số tất cả các họ phần mềm độc hại được nhóm tin tặc UNC4841 sử dụng, chuyên nhắm mục tiêu vào Chính phủ hoặc các tổ chức liên quan đến Chính phủ. Phần mềm trên là một hình thức truy cập từ xa thay thế, các tin tặc APT đã tạo các tài khoản chứa bốn ký tự được tạo ngẫu nhiên trong tệp “etc/passwd” trên khoảng 5% số thiết bị bị ảnh hưởng trước đó.
Giải thích về nguồn gốc của nhóm tin tặc UNC4841, các chuyên gia an ninh mạng nhận định những điểm chung về cơ sở hạ tầng giữa nhóm này và một nhóm tin tặc khác chưa được phân loại có tên gọi là UNC2286, và các chiến dịch gián điệp khác của Trung Quốc được theo dõi là “FamousSparrow” và “GhostEmperor”.
UNC4841 là một nhóm tin tặc có nguồn lực mạnh đã sử dụng nhiều loại phần mềm độc hại và công cụ được xây dựng có mục đích để thực hiện các hoạt động gián điệp toàn cầu. Công ty Mandiant chỉ ra khả năng của các tin tặc trong việc triển khai có chọn lọc nhiều payload hơn đến các môi trường nạn nhân cụ thể. Các nhà nghiên cứu an ninh mạng cho biết UNC4841 sẽ tiếp tục thay đổi mục tiêu, kỹ thuật và quy trình, đồng thời sửa đổi bộ công cụ để duy trì các hoạt động gián điệp và tình báo trong tương lai gần.
Hồng Đạt
17:00 | 11/08/2023
10:00 | 07/04/2023
11:00 | 25/01/2024
07:00 | 22/05/2023
07:00 | 16/09/2024
Ủy ban Bảo vệ dữ liệu của Ireland cho biết, mạng xã hội X đã cam kết ngừng thu thập dữ liệu cá nhân của người dùng tại EU để đào tạo chương trình AI của họ.
10:00 | 10/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
13:00 | 13/08/2024
Dự kiến vào ngày 23/08/2024, tại Trung tâm hội nghị GEM Center, TP. HCM, Hội thảo và Triển lãm An toàn thông tin khu vực phía Nam năm 2024 sẽ được tổ chức với chủ đề “Đảm bảo an toàn thông tin cho hạ tầng số, dữ liệu số và kinh tế số trước tội phạm mạng”.
08:00 | 12/08/2024
Ngày 12/8/2004, Bộ trưởng, Chủ nhiệm Văn phòng Chính phủ đã ký Quyết định ban hành quy chế quan hệ quốc tế của ngành Cơ yếu Việt Nam.
Việc xử lý các đơn vị quảng cáo sử dụng tên định danh được cấp để phát tán tin nhắn, cuộc gọi rác là biện pháp đang được Bộ Thông tin và Truyền thông (TT&TT) thực hiện để bảo vệ người dùng dịch vụ viễn thông.
14:00 | 17/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
10:00 | 10/09/2024
Ngày 10/9 vừa qua, Microsoft đã tổ chức một hội nghị thượng đỉnh để thảo luận về các bước cải thiện hệ thống an ninh mạng, sau khi bản cập nhật phần mềm bị lỗi từ CrowdStrike đã gây ra sự cố gián đoạn công nghệ thông tin phạm vi toàn cầu vào tháng 7.
09:00 | 17/09/2024