APT - Advanced Persistent Threat là thuật ngữ dùng để mô tả một chiến dịch tấn công sử dụng kỹ thuật cao, tiên tiến để tấn công vào điểm yếu của hệ thống. Mục tiêu của các cuộc tấn công APT được lựa chọn cẩn thận và thường là các doanh nghiệp lớn, các cơ quan an ninh và cơ quan chính phủ. Các cuộc tấn công này để lại hậu quả nặng nề như đánh cắp tài sản trí tuệ, thông tin nhạy cảm; chiếm quyền tên miền của tổ chức; cơ sở hạ tầng bị phá hủy…
Nhóm APT FunnyDream
Các chuyên gia bảo mật tại BitDefender đã phát hiện ra một nhóm gián điệp mạng mới có liên hệ với Trung Quốc, được đặt tên là FunnyDream. Nhóm này đã phát tán mã độc tới hơn 200 hệ thống trên khắp Đông Nam Á trong hai năm qua.
Theo Kaspersky Lab, FunnyDream đã hoạt động ít nhất kể từ năm 2018 và nhắm mục tiêu đến các mục tiêu lớn ở Malaysia, Đài Loan và Philippines. Đặc biệt, nhóm nhắm mục tiêu đến nạn nhân ở Việt Nam và các tổ chức chính phủ nước ngoài tại các nước trong khu vực Đông Nam Á. FunnyDream vẫn đang hoạt động và duy trì sự tồn tại lâu dài trong mạng lưới của nạn nhân, theo dõi hoạt động và thu thập các tài liệu nhạy cảm, đặc biệt quan tâm đến thông tin về an ninh quốc gia và gián điệp công nghiệp.
Trong các chiến dịch tấn công, FunnyDream đã sử dụng một lượng lớn các biến thể của mã độc dạng Dropper, cổng hậu (backdoor) và các công cụ liên quan đến mã độc Chinoxy, PCShare RAT và FunnyDream. Các công cụ mã độc dạng RAT này có nguồn gốc từ Trung Quốc, với một số thành phần sử dụng tiếng Trung Quốc. Tên của nhóm xuất phát từ một backdoor nguy hiểm được sử dụng trong chính các cuộc tấn công của nhóm.
Sự giống nhau về phương thức sử dụng trong các cuộc tấn công
Theo phân tích bởi các nhà nghiên cứu Bitdefender, các cuộc tấn công thường sử dụng ba loại mã độc là Chinoxy, PCShare và FunnyDream. Funny Dream đã sử dụng cùng một quy trình để tấn công cho các chiến dịch. Bắt đầu bằng việc cài đặt mã độc cửa hậu Chinoxy, nhóm tin tặc này sẽ cài đặt mã độc và duy trì sự kết nối lâu dài tới hệ thống của nạn nhân sau lần truy cập đầu tiên.
Chinoxy Dropper sử dụng một tập tin thực thi được ký điện tử (gọi là Logitech Bluetooth Wizard Host Process) nhằm lẩn tránh sự phát hiện của các giải pháp an toàn thông tin và thực hiện tấn công kênh kề nhằm tải tập tin DLL backdoor vào bộ nhớ.
Sau đó, backdoor thực thi mã nguồn mở RAT được gọi là PcShare, để thu thập thông tin tình báo từ các máy chủ bị nhiễm. Tiếp đến, kẻ tấn công cài đặt FunnyDream là một mã độc cửa hậu đã được tùy chỉnh để hỗ trợ khả năng liên lạc và có độ bền bỉ nâng cao. Backdoor này sử dụng để thu thập thông tin tình báo và lọc dữ liệu.
Các tập tin được nhóm APT sử dụng phần lớn là ở dạng tập tin DLL, nhưng cũng có lúc là các tập tin thực thi dạng EXE với tên được đặt khác nhau cho mỗi cuộc tấn công. Điều này chứng tỏ các cuộc tấn công được thi thực riêng biệt và sử dụng các tập tin có chứa mã độc được tùy chỉnh cho từng đối tượng mục tiêu.
Timeline cho các mã độc được nhóm FunnyDream sử dụng
Sau khi phân tích, các nhà nghiên cứu đã tìm ra máy chủ điều khiển của nhóm FunnyDream do tên miền và địa chỉ của máy chủ quản trị được gán tĩnh trong tập tin thực thi. Hầu hết các máy chủ đặt ở Hồng Kông, ngoại trừ 3 máy chủ đặt ở Việt Nam, Trung Quốc và Hàn Quốc.
Khó khăn trong việc phòng chống các cuộc tấn công APT
Trong các cuộc tấn công APT, kẻ tấn công thường sử dụng các kỹ thuật cao để duy trì sự tồn tại trong hệ thống nạn nhân. Bên cạnh đó, chúng cũng áp dụng các biện pháp kỹ thuật để qua mặt các hệ thống Antivirus, Endpont Detection Response. Điều này khiến cho việc phát hiện các cuộc tấn công APT rất khó khăn và thường chỉ phát hiện được khi các tấn công đã diễn ra trong một thời gian dài.
Theo các chuyên gia, điều tốt nhất để phòng chống tấn công APT đó là đầu tư đồng bộ nhân lực và vật lực, thuê các chuyên gia hoặc tổ chức cung cấp dịch vụ an toàn thông tin chuyên nghiệp để giám sát các hệ thống 24/7, cũng như triển khai đào tạo để nâng cao nhận thức cho cán bộ, nhân viên trong việc sử dụng Internet an toàn.
Đăng Thứ (Theo cybersecurity-help)
09:00 | 02/12/2020
09:00 | 26/01/2021
08:00 | 28/04/2021
15:00 | 22/04/2021
09:00 | 16/09/2020
14:00 | 13/08/2020
11:00 | 03/09/2024
Theo báo cáo mới nhất được Viettel công bố ngày 26/8 vừa qua, cho thấy tình hình an ninh mạng đáng báo động với sự xuất hiện của 17.000 lỗ hổng mới chỉ trong 6 tháng đầu năm, đặt ra thách thức lớn cho các doanh nghiệp Việt.
09:00 | 09/08/2024
Theo thông báo được Thủ tướng Pháp Gabriel Attal đưa ra ngày 31/7, Cơ quan An ninh nước này đã phát hiện và ngăn chặn hàng chục vụ tấn công mạng liên quan đến Olympic Paris 2024.
12:00 | 19/06/2024
Một lỗ hổng bảo mật ở mức điểm nghiêm trọng tối đa đã được phát hiện trong bộ định tuyến TP-Link Archer C5400X gaming có thể dẫn đến việc thực thi mã từ xa trên các thiết bị bằng cách gửi các yêu cầu độc hại.
07:00 | 05/06/2024
Vào 3 giờ 10 phút sáng ngày 04/6, hệ thống công nghệ thông tin của Tổng công ty Bưu điện Việt Nam (Vietnam Post) bị tấn công mã hóa dữ liệu, gây ảnh hưởng trực tiếp đến việc thực hiện các hoạt động liên quan đến dịch vụ bưu chính chuyển phát. Các dịch vụ tài chính bưu chính, hành chính công và phân phối hàng hóa đến thời điểm này vẫn hoạt động bình thường.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 02/10/2024