Được biết đến với các tên gọi như APT27, Bronze Union, Emissary Panda, Lucky Mouse và TG-3390 (Threat Group 3390), Iron Tiger đã hoạt động từ năm 2010, nhắm mục tiêu hàng trăm tổ chức trên toàn thế giới với mục đích gián điệp mạng.
Là một phần của các cuộc tấn công gần đây, nhóm tin tặc thực hiện tấn công có chủ đích (APT) và lạm dụng các máy chủ bị xâm phạm của ứng dụng nhắn tin MiMi có sẵn trên Windows, macOS, Android và iOS. Để phát tán phần mềm độc hại. Phiên bản máy tính để bàn của ứng dụng được xây dựng bằng cách sử dụng khung đa nền tảng ElectronJS. Iron Tiger đã xâm nhập máy chủ lưu trữ các trình cài đặt hợp pháp của ứng dụng trò chuyện này để tiến hành tấn công chuỗi cung ứng. Mã độc sẽ triển khai macOS backdoor "rshell" để thu thập thông tin hệ thống, nhận các lệnh từ máy chủ ra lệnh và kiểm soát (C2) và gửi kết quả tới máy chủ này. Backdoor này có thể mở hoặc đóng một shell, thực hiện các lệnh shell, liệt kê các thư mục, đọc tệp, ghi vào tệp, đóng tệp, chuẩn bị tệp để tải xuống và tải lên hoặc xóa tệp.
Các nhà nghiên cứu đã phát hiện ra nhiều mẫu rshell, trong đó có một số mẫu nhắm mục tiêu đến Linux. Mẫu cũ nhất được tải lên vào tháng 6/2021. Các chuyên gia cũng tìm thấy bằng chứng cho thấy Iron Tiger đã giành quyền truy cập vào máy chủ chứa trình cài đặt MiMi vào khoảng tháng 11/2021, khi tin tặc sửa đổi trình cài đặt Windows. Tuy nhiên, trình cài đặt macOS đã được sửa đổi vào tháng 5/2022.
Cùng với đó, tin tặc đã tận dụng quyền truy cập vào máy chủ MiMi để sửa đổi trình cài đặt một cách nhanh chóng ngay sau khi các nhà phát triển phát hành phiên bản ứng dụng mới.
Mặc dù trình cài đặt MiMi có chứa mã độc không có chữ ký hợp pháp và cần bỏ qua nhiều cảnh báo bảo mật từ hệ thống để cài đặt nhưng người dùng thường bỏ qua nó.
Trình cài đặt chứa mã độc dành cho hệ điều hành Windows sẽ tải backdoor HyperBro xuống hệ thống của nạn nhân. Backdoor này có thể thu thập thông tin hệ thống, tải lên hoặc tải xuống tệp, thao tác với tệp, liệt kê nội dung của thư mục, thực thi lệnh shell, chạy ứng dụng, chụp ảnh màn hình, kết thúc tiến trình, chèn mã vào tiến trình và điều khiển các dịch vụ.
Iron Tiger dường như chỉ nhắm vào các nạn nhân ở Đài Loan và Philippines. Trong đó 5 nạn nhân bị cài đặt backdoor HyperBro và 8 nạn nhân bị cài đặt backdoor rshell. Hiện tại, một công ty phát triển game của Đài Loan là nạn nhân của nhóm tin tặc.
M.H
16:00 | 10/08/2022
15:00 | 30/08/2022
10:00 | 04/01/2023
22:00 | 15/08/2022
14:00 | 09/12/2022
15:00 | 19/01/2023
07:00 | 15/09/2022
09:00 | 13/12/2022
13:00 | 08/08/2022
14:00 | 29/09/2022
10:00 | 27/05/2024
10:00 | 27/05/2024
08:00 | 26/09/2024
Theo dữ liệu mới từ Kaspersky, tình hình an ninh mạng Việt Nam đã có những dấu hiệu tích cực trong quý II/2024 so với cùng kỳ năm trước. Tuy nhiên, trước sự gia tăng và phức tạp của các loại hình tấn công mạng, việc duy trì cảnh giác cao độ và đầu tư vào các giải pháp bảo mật vẫn là nhiệm vụ cần được ưu tiên hàng đầu.
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
14:00 | 09/09/2024
Những kẻ tấn công chưa rõ danh tính đã triển khai một backdoor mới có tên Msupedge trên hệ thống Windows của một trường đại học ở Đài Loan, bằng cách khai thác lỗ hổng thực thi mã từ xa PHP (có mã định danh là CVE-2024-4577).
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 02/10/2024