Theo báo cáo của các nhà nghiên cứu, nhóm tin tặc Mustang Panda gần đây có liên quan đến các cuộc tấn công mạng vào Myanmar cũng như các nước châu Á khác với một biến thể backdoor PlugX (còn gọi là Korplug) có tên là DOPLUGS.
Được biết, Mustang Panda còn được gọi là Camaro Dragon, Earth Preta và Stately Taurus, được cho là đã nhắm mục tiêu vào các thực thể ở Myanmar, Philippines, Nhật Bản và Singapore, bằng các email lừa đảo được thiết kế để phân phối hai gói phần mềm độc hại.
“Các tác nhân đe dọa đã tạo ra phần mềm độc hại vào ngày 4-5/3/2024, trùng với thời điểm diễn ra Hội nghị Cấp cao Đặc biệt ASEAN - Australia”, các nhà nghiên cứu chia sẻ.
Một trong những gói phần mềm độc hại là tệp ZIP ẩn bên trong tệp thực thi Talking_Points_for_China[.]exe. Khi được khởi chạy, tệp này sẽ tải tệp KeyScramblerIE[.]dll và cuối cùng triển khai phần mềm độc hại PUBLOAD - một dạng mã độc trình tải xuống trước đây được sử dụng để loại bỏ PlugX. Điều đáng nói, tệp nhị phân là bản sao được đổi tên của một phần mềm hợp pháp có tên KeyScrambler[.]exe.
Hình 1. Tệp độc hại Talking_Points_for_China[.]exe
Mặt khác, gói thứ hai là một trình bảo vệ màn hình có tên gọi là Note PSO[.]scr được sử dụng để truy xuất mã độc giai đoạn tiếp theo từ một địa chỉ IP từ xa, bao gồm một chương trình lành tính (được ký số bởi một công ty trò chơi điện tử và được đổi tên thành WindowsUpdate[.]exe) và một tệp DLL lừa đảo.
Các nhà nghiên cứu cho biết, phần mềm độc hại này sau đó cố gắng thiết lập kết nối tới tên miền www[.]openservername[.]com tại với địa chỉ IP là 146[.]70[.1]49[.]36 để nhận lệnh từ máy chủ điểu khiển và ra lệnh (C2).
Unit42 cũng phát hiện lưu lượng truy cập mạng có liên quan giữa một thực thể liên kết với một quốc gia ASEAN và cơ sở hạ tầng C2 của nhóm tin tặc APT thứ hai của Trung Quốc. Cụm hoạt động đe dọa này được cho là gây ra các cuộc tấn công tương tự nhắm vào Campuchia.
Các nhà nghiên cứu đánh giá: “Những chiến dịch này tiếp tục chứng minh cách các tổ chức trở thành mục tiêu của gián điệp mạng, nơi các nhóm tin tặc dưới sự bảo trợ của nhà nước thu thập thông tin tình báo về lợi ích địa chính trị trong khu vực”.
Hình 2. Luồng hoạt động của nhóm tin tặc Earth Krahang
Các phát hiện này được đưa ra một thời gian ngắn sau khi hãng bảo mật Trend Micro (Mỹ) phát hiện một tác nhân đe dọa mới tới từ Trung Quốc có tên là Earth Krahang. Theo đó, Earth Krahang đã nhắm mục tiêu vào 116 thực thể trải rộng trên 35 quốc gia bằng cách lợi dụng lừa đảo trực tuyến và các lỗ hổng trong các máy chủ Openfire và Oracle công khai để phát tán phần mềm độc hại riêng biệt như PlugX, ShadowPad, ReShell và DinodasRAT (còn gọi là XDealer).
Các cuộc tấn công bắt đầu từ đầu năm 2022, trong đó kẻ tấn công tận dụng sự kết hợp của nhiều phương pháp để quét tìm dữ liệu nhạy cảm.
Nhóm tin tặc Earth Krahang tập trung chủ yếu vào Đông Nam Á, cũng thể hiện một số mức độ trùng lặp với một nhóm tin tặc khác của Trung Quốc là Earth Lusca (còn gọi là RedHotel). Theo các nhà nghiên cứu, cả hai nhóm này có thể được điều hành bởi cùng một tác nhân đe dọa và liên quan đến một nhà thầu của Chính phủ Trung Quốc tên là I-Soon.
Một trong những chiến thuật ưa thích của kẻ tấn công là khai thác quyền truy cập để xâm nhập vào cơ sở hạ tầng quan trọng và thực hiện tấn công các thực thể chính phủ khác, lạm dụng cơ sở hạ tầng để lưu trữ các payload độc hại, lưu lượng truy cập tấn công proxy và gửi email lừa đảo đến các mục tiêu liên quan bằng cách sử dụng tài khoản email bị xâm nhập của chính phủ đó.
Các nhà nghiên cứu cho biết, nhóm tin tặc Earth Krahang đã sử dụng cách thức tấn công khác, chẳng hạn như xây dựng máy chủ VPN trên các máy chủ công khai bị xâm nhập để thiết lập quyền truy cập vào mạng riêng của nạn nhân và thực hiện các cuộc tấn công brute-force để lấy thông tin xác thực email. Những thông tin này sau đó được sử dụng để đánh cắp email của các nạn nhân.
Tháng 02/2024, một bộ tài liệu bị rò rỉ từ I-Soon trên GitHub đã tiết lộ cách công ty này bán một loạt phần mềm đánh cắp và trojan truy cập từ xa như ShadowPad và Winnti (còn gọi là TreadStone) cho nhiều tổ chức Chính phủ Trung Quốc. Điều này cũng bao gồm một nền tảng tích hợp được thiết kế để thực hiện các chiến dịch tấn công mạng và một phần mềm độc hại trên Linux có tên là Hector.
Công ty an ninh mạng Bishop Fox (Mỹ) cho biết: “Nền tảng tích hợp bao gồm cả các ứng dụng và mạng nội bộ cũng như mạng bên ngoài. Ứng dụng nội bộ chủ yếu dùng để quản lý nhiệm vụ và tài nguyên. Trong khi đó ứng dụng bên ngoài được thiết kế để thực hiện các hoạt động mạng”.
Ngoài ra, một nhóm tin tặc cho thuê đến từ Trung Quốc (chưa được tiết lộ) được cho là cũng có liên quan đến chiến dịch POISON CARP năm 2019 nhắm vào các nhóm Tây Tạng và vụ tấn công mạng Comm100 năm 2022.
Ngoài các cuộc tấn công nhắm đến các chính phủ nước ngoài và dân tộc thiểu số trong nước (Trung Quốc) để lấy thông tin có giá trị, một số cuộc tấn công mạng được thực hiện độc lập với hy vọng thu hút được khách hàng là các tổ chức, cơ quan chính phủ khác có mục đích gián điệp mạng và đánh cắp thông tin đối phương.
Công ty an ninh mạng Recorded Future (Mỹ) trong một phân tích riêng, cho biết vụ rò rỉ đã làm sáng tỏ “mối quan hệ hoạt động và tổ chức” giữa I-Soon và ba nhóm tác nhân đe dọa khác do Chính phủ Trung Quốc bảo trợ như RedAlpha (còn gọi là Deepcliff), RedHotel và POISON CARP.
Các nạn nhân trong vụ rò rỉ dữ liệu của I-Soon ảnh hưởng đến ít nhất 22 quốc gia, trong đó các tổ chức chính phủ, viễn thông và giáo dục được nhắm tới nhiều nhất.
Hơn nữa, các tài liệu được công bố xác nhận rằng Tianfu Cup - một giải pháp mạng của Trung Quốc tham gia cuộc thi tấn công mạng lớn nhất thế giới Pwn2Own, hoạt động như một “hệ thống chuyên cung cấp thông tin về các lỗ hổng” cho chính phủ.
Nguồn gốc của vụ rò rỉ hiện vẫn chưa được xác định, mặc dù hai nhân viên của I-Soon chia sẻ rằng một cuộc điều tra đang diễn ra với sự cộng tác của cơ quan thực thi pháp luật. Hiện tại, trang web của công ty này đang tạm thời dừng hoạt động trực tuyến.
Ánh Trần
(Tổng hợp)
14:00 | 10/05/2024
11:00 | 26/04/2024
10:00 | 16/08/2024
09:00 | 05/02/2024
13:00 | 28/03/2024
10:00 | 22/11/2023
08:00 | 25/09/2024
Đại hội đại biểu Đảng bộ Ban Cơ yếu Trung ương lần thứ 3 nhiệm kỳ 1986-1988 được tổ chức tại Hà Nội diễn ra từ ngày 25-27/9/1986. Đồng chí Trần Hữu Đắc, Ủy viên Trung ương Đảng, Phó Chủ nhiệm Ủy ban Kiểm tra Trung ương, Bí thư Đảng ủy Khối 1 cơ quan Trung ương dự và phát biểu chỉ đạo Đại hội.
16:00 | 19/09/2024
Chỉ số an toàn thông tin mạng toàn cầu (Global Cybersecurity Index - GCI) 2024, được Liên minh Viễn thông quốc tế (ITU), cơ quan chuyên ngành của Liên hợp quốc công bố ngày 12/9/2024. Trong báo cáo, Việt Nam là 1 trong 46 quốc gia được xếp vào nhóm 1 về chỉ số an toàn thông tin toàn cầu của ITU năm 2024.
08:00 | 05/09/2024
Sau đây là một số dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 05 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
20:00 | 31/08/2024
Ngày 23/8, tại TP. Hồ Chí Minh, Cục An toàn thông tin – Bộ Thông tin và Truyền thông, Sở Thông tin và Truyền thông Tp. Hồ Chí Minh và Hiệp hội An toàn Thông tin Việt Nam – Chi hội phía Nam (VNISA phía Nam) phối hợp đồng tổ chức Hội thảo và Triển lãm An toàn thông tin khu vực phía Nam 2024 với chủ đề “Đảm bảo an toàn thông tin cho hạ tầng số, dữ liệu số và kinh tế số trước tội phạm mạng”.
Sau những trận lũ lụt, lở đất ở miền Bắc gần đây, đã có nhiều báo cáo về những kẻ lừa đảo đóng giả là các tổ chức từ thiện hoặc cơ quan chính phủ.
16:00 | 04/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Ngày 30/9, Adobe chính thức ra mắt tính năng hỗ trợ tiếng Việt dành cho phần mềm Photoshop trên máy tính, giúp người dùng Việt thỏa sức sáng tạo mà không gặp trở ngại về ngôn ngữ.
12:00 | 03/10/2024