Cyber Toufan mang đặc điểm của một nhóm tin tặc tinh vi và tự nhận được thành lập từ các chiến binh mạng của nhà nước Palestine. Nhóm này đã nhanh chóng nổi tiếng, thực hiện các cuộc tấn công mạng phức tạp chống lại các thực thể cấp cao của Israel.
Chiến thuật của nhóm cho thấy Cyber Toufan có thể được tài trợ bởi một chính phủ. Viện nghiên cứu quốc tế về chống khủng bố (ICT) thuộc Đại học Reichman đã lưu ý vào cuối tháng 11 rằng: “Nhóm này đã thể hiện khả năng vượt trội so với các nhóm tin tặc Hamas có liên kết với người Palestine khác. Các hoạt động của nhóm tập trung vào việc xâm phạm các máy chủ, cơ sở dữ liệu và gây rò rỉ thông tin, điều này cho thấy nhóm đã có sự hỗ trợ mạnh mẽ từ một chính phủ nào đó, các dấu hiệu hướng tới việc Iran có thể là nước hỗ trợ ”.
Các nhà nghiên cứu bảo mật đã theo dõi hơn 100 cuộc tấn công liên quan đến hoạt động của Cyber Toufan, đặc trưng bởi việc đánh cắp một lượng lớn dữ liệu, bao gồm thông tin cá nhân và phát tán nó trên web.
Công ty tình báo an ninh mạng SOC Radar đã viết trong một báo cáo vào hai tuần trước: “Các cuộc tấn công của Cyber Toufan không chỉ dẫn đến rò rỉ lượng lớn dữ liệu mà còn đóng vai trò như một hình thức trả đũa kỹ thuật số, phù hợp với các mục tiêu chiến lược rộng lớn trong khu vực”.
Nhà nghiên cứu bảo mật độc lập Kevin Beaumont (Anh) cho biết, nhóm tin tặc này đã làm rò rỉ dữ liệu của 59 tổ chức trên kênh Telegram. Tuy nhiên, nhóm có thể đã xâm phạm hơn 40 tổ chức nữa trong các cuộc tấn công nhắm vào nhà cung cấp dịch vụ được quản lý (MSP). Dữ liệu nhóm này làm rò rỉ bao gồm hình ảnh đĩa máy chủ hoàn chỉnh, chứng chỉ SSL (vẫn chưa bị thu hồi và đang được sử dụng), kết xuất SQL, CRM và cả các bản sao lưu WordPress.
Nạn nhân của Cyber Toufan bao gồm: Cơ quan Lưu trữ Quốc gia Israel; Cơ quan Đổi mới Israel; Trung tâm Nhà ở Israel; Công viên Quốc gia Israel; Trường Cao đẳng Học thuật Tel Aviv; Bộ Y tế Israel; Bộ Phúc lợi và An sinh Xã hội, Cơ quan Chứng khoán Israel; Các doanh nghiệp Allot, MAX Security & Intelligence, Radware và Toyota Israel.
Một số nạn nhân đã không thể phục hồi sau các cuộc tấn công mạng và trong tình trạng ngoại tuyến trong vài tuần. Theo nhà nghiên cứu Kevin Beaumont, Cyber Toufan đã sử dụng Shred, một công cụ để xóa các tập tin và không thể khôi phục được. Để làm được điều đó, nhóm đã chạy Shred bằng cách sử dụng tập lệnh shell của riêng họ để đảm bảo rằng công cụ này tiếp tục chạy ngay cả khi tiến trình bị quản trị viên hủy bỏ.
Các nhà nghiên cứu cũng phát hiện Cyber Toufan đã gửi email tới khách hàng của các tổ chức bị tấn công và dường như nhóm này đang cố gắng phối hợp với nhiều nhóm tin tặc khác trong các hoạt động tấn công tập thể với quy mô lớn hơn.
Thanh Bình
(securityweek)
08:00 | 12/03/2024
16:00 | 01/12/2023
15:00 | 15/03/2024
14:00 | 05/03/2024
21:00 | 16/11/2023
14:00 | 26/03/2024
16:00 | 15/03/2024
14:00 | 08/11/2023
09:00 | 27/10/2023
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
07:00 | 08/01/2024
Mới đây, các nhà nghiên cứu an ninh mạng tới từ công ty bảo mật di động ThreatFabric (Hà Lan) cho biết một phiên bản cập nhật mới của Trojan ngân hàng Android có tên là Chameleon đang mở rộng mục tiêu nhắm tới người dùng ở Anh và Ý. Trojan này được phân phối thông qua Zombinder - một loại phần mềm Dropper dưới dạng dịch vụ (DaaS). Bài viết này sẽ tập trung phân tích biến thể mới của Chameleon với khả năng đặc biệt vượt qua tính năng xác thực sinh trắc học.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024