APT - Advanced Persistent Threat là thuật ngữ dùng để mô tả một chiến dịch tấn công sử dụng kỹ thuật cao, tiên tiến để tấn công vào điểm yếu của hệ thống. Mục tiêu của các cuộc tấn công APT được lựa chọn cẩn thận và thường là các doanh nghiệp lớn, các cơ quan an ninh và cơ quan chính phủ. Các cuộc tấn công này để lại hậu quả nặng nề như đánh cắp tài sản trí tuệ, thông tin nhạy cảm; chiếm quyền tên miền của tổ chức; cơ sở hạ tầng bị phá hủy…
Nhóm APT FunnyDream
Các chuyên gia bảo mật tại BitDefender đã phát hiện ra một nhóm gián điệp mạng mới có liên hệ với Trung Quốc, được đặt tên là FunnyDream. Nhóm này đã phát tán mã độc tới hơn 200 hệ thống trên khắp Đông Nam Á trong hai năm qua.
Theo Kaspersky Lab, FunnyDream đã hoạt động ít nhất kể từ năm 2018 và nhắm mục tiêu đến các mục tiêu lớn ở Malaysia, Đài Loan và Philippines. Đặc biệt, nhóm nhắm mục tiêu đến nạn nhân ở Việt Nam và các tổ chức chính phủ nước ngoài tại các nước trong khu vực Đông Nam Á. FunnyDream vẫn đang hoạt động và duy trì sự tồn tại lâu dài trong mạng lưới của nạn nhân, theo dõi hoạt động và thu thập các tài liệu nhạy cảm, đặc biệt quan tâm đến thông tin về an ninh quốc gia và gián điệp công nghiệp.
Trong các chiến dịch tấn công, FunnyDream đã sử dụng một lượng lớn các biến thể của mã độc dạng Dropper, cổng hậu (backdoor) và các công cụ liên quan đến mã độc Chinoxy, PCShare RAT và FunnyDream. Các công cụ mã độc dạng RAT này có nguồn gốc từ Trung Quốc, với một số thành phần sử dụng tiếng Trung Quốc. Tên của nhóm xuất phát từ một backdoor nguy hiểm được sử dụng trong chính các cuộc tấn công của nhóm.
Sự giống nhau về phương thức sử dụng trong các cuộc tấn công
Theo phân tích bởi các nhà nghiên cứu Bitdefender, các cuộc tấn công thường sử dụng ba loại mã độc là Chinoxy, PCShare và FunnyDream. Funny Dream đã sử dụng cùng một quy trình để tấn công cho các chiến dịch. Bắt đầu bằng việc cài đặt mã độc cửa hậu Chinoxy, nhóm tin tặc này sẽ cài đặt mã độc và duy trì sự kết nối lâu dài tới hệ thống của nạn nhân sau lần truy cập đầu tiên.
Chinoxy Dropper sử dụng một tập tin thực thi được ký điện tử (gọi là Logitech Bluetooth Wizard Host Process) nhằm lẩn tránh sự phát hiện của các giải pháp an toàn thông tin và thực hiện tấn công kênh kề nhằm tải tập tin DLL backdoor vào bộ nhớ.
Sau đó, backdoor thực thi mã nguồn mở RAT được gọi là PcShare, để thu thập thông tin tình báo từ các máy chủ bị nhiễm. Tiếp đến, kẻ tấn công cài đặt FunnyDream là một mã độc cửa hậu đã được tùy chỉnh để hỗ trợ khả năng liên lạc và có độ bền bỉ nâng cao. Backdoor này sử dụng để thu thập thông tin tình báo và lọc dữ liệu.
Các tập tin được nhóm APT sử dụng phần lớn là ở dạng tập tin DLL, nhưng cũng có lúc là các tập tin thực thi dạng EXE với tên được đặt khác nhau cho mỗi cuộc tấn công. Điều này chứng tỏ các cuộc tấn công được thi thực riêng biệt và sử dụng các tập tin có chứa mã độc được tùy chỉnh cho từng đối tượng mục tiêu.
Timeline cho các mã độc được nhóm FunnyDream sử dụng
Sau khi phân tích, các nhà nghiên cứu đã tìm ra máy chủ điều khiển của nhóm FunnyDream do tên miền và địa chỉ của máy chủ quản trị được gán tĩnh trong tập tin thực thi. Hầu hết các máy chủ đặt ở Hồng Kông, ngoại trừ 3 máy chủ đặt ở Việt Nam, Trung Quốc và Hàn Quốc.
Khó khăn trong việc phòng chống các cuộc tấn công APT
Trong các cuộc tấn công APT, kẻ tấn công thường sử dụng các kỹ thuật cao để duy trì sự tồn tại trong hệ thống nạn nhân. Bên cạnh đó, chúng cũng áp dụng các biện pháp kỹ thuật để qua mặt các hệ thống Antivirus, Endpont Detection Response. Điều này khiến cho việc phát hiện các cuộc tấn công APT rất khó khăn và thường chỉ phát hiện được khi các tấn công đã diễn ra trong một thời gian dài.
Theo các chuyên gia, điều tốt nhất để phòng chống tấn công APT đó là đầu tư đồng bộ nhân lực và vật lực, thuê các chuyên gia hoặc tổ chức cung cấp dịch vụ an toàn thông tin chuyên nghiệp để giám sát các hệ thống 24/7, cũng như triển khai đào tạo để nâng cao nhận thức cho cán bộ, nhân viên trong việc sử dụng Internet an toàn.
Đăng Thứ (Theo cybersecurity-help)
09:00 | 02/12/2020
09:00 | 26/01/2021
08:00 | 28/04/2021
15:00 | 22/04/2021
09:00 | 16/09/2020
14:00 | 13/08/2020
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024