Theo Microsoft, nhóm tin tặc Diamond Sleet (Zinc) đã thực hiện chiến dịch tấn công này. Trước đây, Diamond Sleet được biết đến là một nhánh của nhóm Lazarus khét tiếng, nhóm tin tặc này đã tiến hành các cuộc tấn công nhằm đánh cắp dữ liệu, gián điệp, phá hủy và thu lợi tài chính.
Các nhà nghiên cứu của công ty tình báo mối đe dọa mạng Mandiant thuộc sở hữu của Google đã lưu ý vào tháng trước: “Mục tiêu của Diamond Sleet là thu thập thông tin tình báo chiến lược và nhắm vào các tổ chức chính phủ, quốc phòng, viễn thông và tài chính trên toàn thế giới.”
Gã khổng lồ công nghệ cho biết gần đây Diamond Sleet đã nhắm mục tiêu vào CyberLink Corp, một công ty phần mềm có trụ sở tại Đài Loan chuyên về các ứng dụng chỉnh sửa âm thanh, video và ảnh.
Các tin tặc đã xâm phạm hệ thống của công ty và sửa đổi trình cài đặt ứng dụng hợp pháp. Chúng đã thêm mã độc được thiết kế để tải xuống, giải mã và tải payload giai đoạn hai. Phiên bản độc hại của trình cài đặt đã được ký bằng chứng chỉ CyberLink hợp lệ và được lưu trữ trên cơ sở hạ tầng cập nhật do công ty này sở hữu, đồng thời bao gồm các bước kiểm tra để giới hạn khoảng thời gian thực thi và bỏ qua sự phát hiện của các sản phẩm bảo mật.
Microsoft bắt đầu nhận thấy hoạt động liên quan đến trình cài đặt độc hại này vào ngày 20/10, chiến dịch này ước tính đã tác động đến hơn 100 thiết bị trên khắp Nhật Bản, Đài Loan, Canada và Mỹ.
Công ty theo dõi phần mềm độc hại dưới dạng LambLoad. Mối đe dọa này được thiết kế để kiểm tra máy chủ bị xâm nhập xem có phần mềm bảo mật từ CrowdStrike, FireEye và Tanium hay không trước khi thực thi mã độc - chỉ ứng dụng CyberLink hợp pháp mới được chạy nếu phát hiện thấy các sản phẩm bảo mật đó.
Microsoft lưu ý rằng các tin tặc được biết đến là có khả năng đánh cắp dữ liệu nhạy cảm từ nạn nhân, xâm phạm môi trường xây dựng phần mềm, chuyển tiếp sang các nạn nhân khác và thiết lập quyền truy cập liên tục. Đồng thời, hãng cũng đã cung cấp các chỉ báo liên quan về sự xâm phạm (IoC) để giúp các tổ chức có thể phát hiện hoạt động của Diamond Sleet trên mạng của họ.
Tháng trước, Microsoft cũng cáo buộc Diamond Sleet khai thác lỗ hổng bảo mật nghiêm trọng trong JetBrains TeamCity (CVE-2023-42793, điểm CVSS: 9,8) để xâm phạm các máy chủ dễ bị tấn công và triển khai một backdoor có tên ForestTiger.
Sự gia tăng các cuộc tấn công chuỗi cung ứng phần mềm do các tác nhân đe dọa Triều Tiên thực hiện nhắm vào 3CX, MagicLine4NX, JumpCloud và CyberLink cho thấy sự cảnh báo về mức độ phức tạp và tần suất ngày càng tăng của các cuộc tấn công như vậy, kêu gọi các tổ chức áp dụng các biện pháp an ninh nhằm giảm thiểu khả năng bị xâm phạm.
Các nhà nghiên cứu cho biết: “Các tin tặc đã lợi dụng các lỗ hổng zero-day và khai thác trong phần mềm của bên thứ ba để có quyền truy cập vào các mục tiêu cụ thể hoặc các tổ chức thông qua chuỗi cung ứng của họ”.
Dương Ngân
(Tổng hợp)
10:00 | 27/05/2024
17:00 | 08/11/2023
10:00 | 27/05/2024
10:00 | 19/11/2024
09:00 | 06/03/2024
12:00 | 25/10/2023
07:00 | 16/01/2024
09:00 | 15/11/2024
16:00 | 27/11/2024
16:00 | 03/08/2023
15:00 | 12/11/2024
10:00 | 21/03/2025
Các nhà nghiên cứu an ninh mạng đã cảnh báo khẩn cấp cho cộng đồng YouTuber, khi một chiến dịch tống tiền quy mô lớn đang nhắm vào các nhà sáng tạo nội dung, buộc họ phải phát tán phần mềm độc hại đào tiền điện tử trên kênh của mình.
14:00 | 19/03/2025
Ngày 17/3, Tổng thống Mexico Claudia Sheinbaum xác nhận một trong những thiết bị di động của bà đã bị tin tặc tấn công vài ngày trước, song cơ quan an ninh thông tin đã vào cuộc và vô hiệu hóa thành công cuộc tấn công này.
13:00 | 05/03/2025
Hệ thống tìm kiếm thiết bị Find My của Apple bị phát hiện tồn tại lỗ hổng nghiêm trọng, cho phép tin tặc biến bất kỳ thiết bị nào, kể cả điện thoại Android, thành một AirTag giả để theo dõi vị trí một cách lén lút. Đến nay, Apple vẫn chưa có giải pháp khắc phục đối với lỗ hổng này.
09:00 | 01/02/2025
Redis - Hệ thống lưu trữ dữ liệu NoSQL mã nguồn mở phổ biến vừa phát hiện tồn tại 2 lỗ hổng bảo mật đe dọa đến hàng triệu người dùng.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
