Các nhà nghiên cứu bảo mật Den Luzvyk, Tim Peck và Oleg Kolesnikov của hãng bảo mật Securonix (Mỹ) cho biết: “Chiến dịch này diễn ra với hai mục đích, một là bán quyền truy cập vào máy chủ bị xâm nhập, hai là cài cắm mã độc tống tiền”, đồng thời quy kết cho các tác nhân đe dọa đến từ Thổ Nhĩ Kỳ thực hiện với tên gọi là RE#TURGENCE.
Quyền truy cập ban đầu vào máy chủ đòi hỏi phải tiến hành các cuộc tấn công brute-force, sau đó là sử dụng tùy chọn cấu hình xp_cmdshell để chạy các lệnh shell trên máy chủ bị xâm nhập. Hành động này tương tự với một chiến dịch trước đó có tên là DB#JAMMER được công bố vào tháng 9/2023.
Giai đoạn này mở đường cho việc truy xuất tập lệnh PowerShell từ một máy chủ từ xa chịu trách nhiệm tìm nạp phần mềm độc hại Cobalt Strike. Sau đó, bộ cung cụ sau khai thác được sử dụng để tải xuống ứng dụng hỗ trợ máy tính từ xa AnyDesk từ một mạng chia sẻ được gắn kết để truy cập vào máy tính, đồng thời tải xuống các công cụ bổ sung như Mimikatz để thu thập thông tin xác thực và Advanced Port Scanner để tiền hành trinh sát mạng.
Các hành động thực hiện trên máy mục tiêu được thực hiện bằng tiện ích PsExec, đây là tiện ích quản trị hệ thống có thể thực thi các chương trình trên máy chủ Windows từ xa.
Cuối cùng, các tin tặc triển khai phần mềm mã độc tống tiền Mimic. Sau khi quá trình mã hóa hoàn tất, tiến trình red.exe sẽ thực thi thông báo mã hóa/thanh toán được lưu trên ổ C:\ của nạn nhân dưới dạng “—IMPORTANT—NOTICE—.txt”. Tệp văn bản chứa thông báo sau:
Thông báo thanh toán mã độc tống tiền Mimic
Mimic lần đầu tiên được xác định và thu hút được sự chú ý vào tháng 01/2023. Một biến thể của nó cũng được sử dụng trong chiến dịch DB#JAMMER.
Nhà nghiên cứu Kolesnikov chia sẻ: “Các chỉ số và cách thức tấn công được sử dụng trong hai chiến dịch là hoàn toàn khác nhau, vì vậy khả năng rất cao đây là hai chiến dịch khác nhau. Cụ thể hơn, tuy là các phương pháp xâm nhập ban đầu tương tự nhau, nhưng DB#JAMMER phức tạp hơn một chút và sử dụng đường hầm (tunnel). Trong khi đó, chiến dịch RE#TURGENCE nhắm mục tiêu rộng hơn và có xu hướng sử dụng các công cụ hợp pháp cũng như giám sát và quản lý từ xa, chẳng hạn như AnyDesk, để cố gắng trốn tránh sự phát hiện của các giải pháp bảo mật”.
Các nhà nghiên cứu cảnh báo: “Cần cân nhắc việc để các máy chủ quan trọng trực tiếp kết nối với môi trường Internet. Trong chiến dịch RE#TURGENCE, những kẻ tấn công có thể trực tiếp tấn công vào máy chủ từ bên ngoài vùng mạng chính”.
Lê Thị Bích Hằng
(Tổng hợp)
08:00 | 11/01/2024
14:00 | 07/03/2022
09:00 | 29/01/2024
07:00 | 06/03/2023
09:00 | 28/04/2024
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
16:00 | 25/04/2024
Chiều 24/4, tại Diễn đàn thường niên “Blockchain và AI: Cuộc cách mạng tương lai”, Hiệp hội Blockchain Việt Nam đã chính thức ra mắt Viện Công nghệ Blockchain và Trí tuệ Nhân tạo (ABAII).
17:00 | 01/04/2024
Trong 02 ngày 30 - 31/3/2024, Đoàn thiện nguyện của Tạp chí An toàn thông tin và Thanh tra Cơ yếu đã đồng hành cùng Đội sinh viên làm Công tác xã hội, trường Đại học Khoa học Xã hội và Nhân văn - ĐHQG Hà Nội tổ chức chương trình thiện nguyện “Khơi nguồn yêu thương” nhằm xây dựng giếng nước giúp đỡ 117 em học sinh tại điểm Trường Mầm non Phú Xuân, xã Phú Xuân, huyện Quan Hóa, tỉnh Thanh Hóa.
14:00 | 13/03/2024
Sáng ngày 13/3, tại Hà Nội, Đoàn công tác của Bộ Quốc phòng do Thượng tướng Lê Huy Vịnh, Ủy viên Ban Chấp hành Trung ương Đảng, Thứ trưởng Bộ Quốc phòng làm trưởng đoàn đến thăm và làm việc tại Học viện Kỹ thuật mật mã về công tác đào tạo nguồn nhân lực chuyển đổi số.
Hội nghị quốc tế lần thứ 12 Lãnh đạo cấp cao phụ trách an ninh được tổ chức dựa trên sự cần thiết vì nó mở ra cơ hội để trao đổi kinh nghiệm, tìm kiếm những cách tiếp cận mới và các giải pháp tổng hợp chung cho các vấn đề cấp bách về an ninh khu vực và toàn cầu.
09:00 | 28/04/2024
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Apple đang đàm phán để sử dụng công cụ Gemini AI của Google trên iPhone, tạo tiền đề cho một thỏa thuận mang tính đột phá trong ngành công nghiệp AI.
11:00 | 26/04/2024