Nhóm tin tặc này có tên là Scarred Manticore và đã hoạt động ít nhất từ năm 2019, được cho là có mối liên hệ chặt chẽ với tổ chức mới nổi Storm-0861, một trong bốn nhóm tin tặc của Iran có liên quan đến các cuộc tấn công mạng vào Chính phủ Albania năm ngoái. Nạn nhân của chiến dịch này trải dài trên nhiều quốc gia khác nhau như Ả Rập Saudi, Các Tiểu vương quốc Ả Rập Thống nhất (UAE), Jordan, Kuwait, Oman, Iraq và Israel.
Scarred Manticore có một số điểm trùng lặp với OilRig, một nhóm tin tặc Iran gần đây đã tấn công mạng vào chính phủ một quốc gia tại Trung Đông kể từ tháng 2 đến tháng 9/2023 như một phần của chiến dịch kéo dài 8 tháng.
Các chuỗi tấn công do Scarred Manticore thực hiện đã nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông ở Trung Đông bằng cách sử dụng backdoor có tên là HTTPSnoop, bao gồm các kỹ thuật mới để giao tiếp với các thiết bị và trình điều khiển nhân HTTP của Windows để lắng nghe các yêu cầu đến đối với các URL HTTP/HTTPS cụ thể và thực thi nội dung đó trên điểm cuối bị lây nhiễm.
Chiến dịch của Scarred Manticore có đặc điểm là sử dụng framework phần mềm độc hại chưa được biết đến trước đây có lên là LIONTAIL được cài đặt trên máy chủ Windows.
Các nhà nghiên cứu Check Point cho biết trong một phân tích vào ngày 31/10: “Scarred Manticore đã theo đuổi các mục tiêu có giá trị cao trong nhiều năm, sử dụng nhiều backdoor trên IIS để tấn công các máy chủ Windows. Chúng bao gồm nhiều webshell và backdoor DDL tùy chỉnh trên trình điều khiển”.
LIONTIAL là một phần mềm độc hại nâng cao, nó là một tập hợp các trình tải shellcode tùy chỉnh và payload shellcode nằm trong bộ nhớ. Một thành phần đáng chú ý của framework này là một phần mềm độc hại tinh vi được viết bằng ngôn ngữ C cho phép kẻ tấn công thực thi các lệnh từ xa thông qua các yêu cầu HTTP.
Chuỗi tấn công đòi hỏi phải xâm nhập công khai vào các máy chủ Windows để khởi động quá trình phân phối phần mềm độc hại và thu thập dữ liệu nhạy cảm một cách có hệ thống từ các máy chủ bị nhiễm.
Lịch sử hoạt động của Scarred Manticore cho thấy sự phát triển liên tục của kho vũ khí phần mềm độc hại của nhóm này, trong đó có Tunna - một phần mềm độc hại dựa vào các webshell với phiên bản tiếng Việt có tên FOXSHELL, tạo đường hầm cho mọi giao tiếp TCP qua HTTP.
Kể từ giữa năm 2020, Scarred Manticore cũng đã sử dụng một backdoor dựa trên .NET có tên SDD để thiết lập giao tiếp với máy chủ điều khiển từ xa thông qua trình nghe HTTP trên máy bị nhiễm, với mục tiêu cuối cùng là thực thi các lệnh tùy ý, tải lên (upload) và tải xuống tệp (download), cũng như chạy các tập hợp .NET bổ sung.
Các bản cập nhật đối với chiến thuật và công cụ của nhóm tin tặc này là điển hình của chiến dịch APT, thể hiện nguồn lực cũng như kỹ năng đa dạng của chúng. Điều này được minh họa rõ nhất qua việc Scarred Manticore sử dụng trình điều khiển độc hại có tên WINTAPIX đã bị Fortinet phát hiện vào đầu tháng 5/2023.
Check Point cho biết: “Các thành phần framework của LIONTAIL chia sẻ các chuỗi và mã hóa tương tự với các trình điều khiển FOXSHELL, backdoor SDD và WINTAPIX”.
Lê Thị Bích Hằng
21:00 | 16/11/2023
10:00 | 22/11/2023
08:00 | 28/11/2023
12:00 | 12/04/2024
10:00 | 06/12/2023
17:00 | 24/12/2021
10:00 | 25/10/2024
12:00 | 25/10/2023
11:00 | 02/08/2021
10:00 | 19/11/2024
Các cuộc tấn công vào chuỗi cung ứng phần mềm trong vài năm gần đây đã để lại nhiều bài học đắt giá. Những sự cố này không chỉ gây thiệt hại tài chính mà còn ảnh hưởng đến niềm tin vào độ bảo mật của các dịch vụ công nghệ. Bài báo này điểm qua 10 cuộc tấn công chuỗi cung ứng phần mềm nổi bật và những bài học kinh nghiệm.
09:00 | 18/11/2024
Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.
07:00 | 21/10/2024
Một nghiên cứu mới đây cho thấy 7 nhãn hiệu ô tô hàng đầu tại Úc đang thu thập và bán dữ liệu về người lái, gây lo ngại về quyền riêng tư. Đặc biệt, Hyundai và Kia bị cáo buộc bán dữ liệu nhận dạng giọng nói cho bên thứ ba để huấn luyện AI.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
Nhà cung cấp phần mềm an ninh mạng Gen Digital (Cộng hòa Séc) cho biết rằng, một phần mềm độc hại đánh cắp thông tin mới có thể vượt qua cơ chế mã hóa App-Bound trong các trình duyệt dựa trên Chromium.
10:00 | 28/11/2024