Công ty an ninh mạng TG Soft (Ý) cho biết trong một phân tích được công bố mới đây rằng hai cuộc tấn công có chủ đích diễn ra vào ngày 24/6 và ngày 2/7.
Công ty lưu ý: "Cả hai cuộc tấn công đều dụ dỗ nạn nhân cài đặt gói Skype for Business từ một liên kết của một tên miền trông giống với Chính phủ Ý để phân phối một biến thể của phần mềm độc hại 9002 RAT".
Nhóm tin tặc APT17 xuất hiện lần đầu tiên vào năm 2013, được phát hiện bởi các kỹ sư bảo mật Mandiant Google. Các tin tặc này lợi dụng lỗ hổng zero-day trong trình duyệt Internet Explorer của Microsoft để xâm nhập các mục tiêu tấn công. APT17 còn được biết đến với các tên gọi khác như Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx và TEMP.Avengers.
Phần mềm độc hại 9002 RAT, hay còn gọi là Hydraq và McRAT, đã từng được các tác nhân đe dọa sử dụng làm công cụ tấn công trong chiến dịch Aurora nhằm xâm nhập vào Google và các công ty lớn khác vào năm 2009. Sau đó, phần mềm độc hại này cũng được phát hiện trong một chiến dịch khác vào năm 2013 có tên là Sunshop, trong đó những kẻ tấn công đã chèn các chuyển hướng độc hại vào một số trang web.
Các cuộc tấn công mới đòi hỏi việc sử dụng mồi nhử lừa đảo trực tuyến để đánh lừa người nhận nhấp vào liên kết thúc giục họ tải xuống trình cài đặt MSI cho Skype for Business ("SkypeMeeting.msi"). Việc khởi chạy gói MSI sẽ kích hoạt việc thực thi tệp lưu trữ Java (JAR) thông qua Visual Basic Script (VBS), đồng thời cài đặt phần mềm trò chuyện hợp pháp trên hệ thống Windows. Ngược lại, ứng dụng Java sẽ giải mã và thực thi shellcode chịu trách nhiệm khởi chạy 9002 RAT.
Theo đánh giá của của nhà nghiên cứu, 9002 RAT có các tính năng giám sát lưu lượng mạng, chụp ảnh màn hình, liệt kê tệp, quản lý tiến trình và chạy các lệnh bổ sung nhận được từ máy chủ điều khiển và ra lệnh (C2), cùng nhiều tính năng khác.
TG Soft nhận định: “Phần mềm độc hại dường như cũng được cập nhật liên tục với các biến thể mới, bao gồm nhiều mô-đun khác nhau được những kẻ tấn công thực thi khi cần thiết nhằm giảm khả năng bị phát hiện và ngăn chặn”.
Bá Phúc
(The Hacker News)
15:00 | 30/07/2024
14:00 | 20/08/2024
08:00 | 12/07/2024
16:00 | 30/05/2024
16:00 | 04/09/2024
14:00 | 06/08/2024
13:00 | 13/08/2024
10:00 | 07/06/2024
14:00 | 04/02/2025
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
09:00 | 01/02/2025
Redis - Hệ thống lưu trữ dữ liệu NoSQL mã nguồn mở phổ biến vừa phát hiện tồn tại 2 lỗ hổng bảo mật đe dọa đến hàng triệu người dùng.
21:00 | 26/01/2025
Trong vài năm qua, nhóm tin tặc Lazarus đã phân phối phần mềm độc hại bằng cách khai thác các cơ hội việc làm giả mạo nhắm vào nhân viên trong nhiều ngành công nghiệp khác nhau, bao gồm quốc phòng, hàng không vũ trụ, tiền điện tử và các lĩnh vực toàn cầu khác. Chiến dịch tấn công này được gọi là DeathNote và cũng được gọi là “Operation DreamJob”. Bài viết sẽ cung cấp tổng quan về những thay đổi đáng kể trong chuỗi lây nhiễm của Lazarus và khám phá cách chúng kết hợp việc sử dụng các mẫu phần mềm độc hại mới và cũ để điều chỉnh các cuộc tấn công.
09:00 | 24/01/2025
Các nhà nghiên cứu bảo mật đã phát hiện một mã khai thác (Proof of Concept - PoC) lừa đảo đối với lỗ hổng CVE-2024-49113 (hay còn gọi là LDAPNightmare) trên GitHub lây nhiễm phần mềm độc hại đánh cắp thông tin cho người dùng, từ đó đánh cắp dữ liệu nhạy cảm sang máy chủ FTP bên ngoài.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.
11:00 | 11/03/2025
