Nhóm tin tặc Iron Tiger tấn công chuỗi cung ứng để triển khai phần mềm độc hại

12:00 | 25/08/2022 | HACKER / MALWARE

Theo báo cáo của Trend Micro, nhóm tin tặc có liên quan đến Trung Quốc, Iron Tiger đã sử dụng các máy chủ bị xâm nhập của một ứng dụng trò chuyện để phân phối phần mềm độc hại tới các hệ thống Windows và macOS.

Nhóm tin tặc Iron Tiger tấn công chuỗi cung ứng để triển khai phần mềm độc hại

Được biết đến với các tên gọi như APT27, Bronze Union, Emissary Panda, Lucky Mouse và TG-3390 (Threat Group 3390), Iron Tiger đã hoạt động từ năm 2010, nhắm mục tiêu hàng trăm tổ chức trên toàn thế giới với mục đích gián điệp mạng.

Là một phần của các cuộc tấn công gần đây, nhóm tin tặc thực hiện tấn công có chủ đích (APT) và lạm dụng các máy chủ bị xâm phạm của ứng dụng nhắn tin MiMi có sẵn trên Windows, macOS, Android và iOS. Để phát tán phần mềm độc hại. Phiên bản máy tính để bàn của ứng dụng được xây dựng bằng cách sử dụng khung đa nền tảng ElectronJS. Iron Tiger đã xâm nhập máy chủ lưu trữ các trình cài đặt hợp pháp của ứng dụng trò chuyện này để tiến hành tấn công chuỗi cung ứng. Mã độc sẽ triển khai macOS backdoor "rshell" để thu thập thông tin hệ thống, nhận các lệnh từ máy chủ ra lệnh và kiểm soát (C2) và gửi kết quả tới máy chủ này. Backdoor này có thể mở hoặc đóng một shell, thực hiện các lệnh shell, liệt kê các thư mục, đọc tệp, ghi vào tệp, đóng tệp, chuẩn bị tệp để tải xuống và tải lên hoặc xóa tệp.

Các nhà nghiên cứu đã phát hiện ra nhiều mẫu rshell, trong đó có một số mẫu nhắm mục tiêu đến Linux. Mẫu cũ nhất được tải lên vào tháng 6/2021. Các chuyên gia cũng tìm thấy bằng chứng cho thấy Iron Tiger đã giành quyền truy cập vào máy chủ chứa trình cài đặt MiMi vào khoảng tháng 11/2021, khi tin tặc sửa đổi trình cài đặt Windows. Tuy nhiên, trình cài đặt macOS đã được sửa đổi vào tháng 5/2022.

Cùng với đó, tin tặc đã tận dụng quyền truy cập vào máy chủ MiMi để sửa đổi trình cài đặt một cách nhanh chóng ngay sau khi các nhà phát triển phát hành phiên bản ứng dụng mới.

Mặc dù trình cài đặt MiMi có chứa mã độc không có chữ ký hợp pháp và cần bỏ qua nhiều cảnh báo bảo mật từ hệ thống để cài đặt nhưng người dùng thường bỏ qua nó.

Trình cài đặt chứa mã độc dành cho hệ điều hành Windows sẽ tải backdoor HyperBro xuống hệ thống của nạn nhân. Backdoor này có thể thu thập thông tin hệ thống, tải lên hoặc tải xuống tệp, thao tác với tệp, liệt kê nội dung của thư mục, thực thi lệnh shell, chạy ứng dụng, chụp ảnh màn hình, kết thúc tiến trình, chèn mã vào tiến trình và điều khiển các dịch vụ.

Iron Tiger dường như chỉ nhắm vào các nạn nhân ở Đài Loan và Philippines. Trong đó 5 nạn nhân bị cài đặt backdoor HyperBro và 8 nạn nhân bị cài đặt backdoor rshell. Hiện tại, một công ty phát triển game của Đài Loan là nạn nhân của nhóm tin tặc.

M.H

‹ › ×

Tin liên quan

Tin tặc rao bán 100.000 thông tin tài khoản ngân hàng người dùng Việt

16:00 | 10/08/2022

Thu hút sự chú ý của dư luận trong vài ngày gần đây là việc thông tin 100.000 tài khoản ngân hàng người dùng Việt Nam bao gồm số dư tài khoản, họ tên, địa chỉ, số tài khoản, số điện thoại và ngày tháng năm sinh… được rao bán công khai trên Internet. Một lần nữa hồi chuông báo động về bảo mật dữ liệu người dùng lại được vang lên.

Phần mềm quản lý mật khẩu LastPass bị tin tặc tấn công

15:00 | 30/08/2022

Mới đây, ứng dụng quản lý mật khẩu LastPass cho biết một phần mã nguồn và dữ liệu kỹ thuật nội bộ đã bị đánh cắp cách đây 2 tuần sau khi tin tặc đột nhập hệ thống. May mắn, mật khẩu của người dùng không bị tấn công.

Cách loại bỏ trojan, virus, worm và các phần mềm độc hại

14:00 | 09/12/2022

Phần mềm độc hại đã trở thành khái niệm không còn xa lạ đối với người dùng hiện nay. Tuy nhiên, chúng được phân loại và có cách thức hoạt động khác nhau. Bài viết này hướng dẫn người dùng cách loại bỏ những phần mềm độc hại thuộc dạng virus, trojan, worm.

Tin tặc Triều Tiên sử dụng tiện ích mở rộng độc hại trên trình duyệt để theo dõi tài khoản email

22:00 | 15/08/2022

Một nhóm tin tặc hoạt động với mục địch tài chính được cho là có liên quan đến Triều Tiên đã triển khai một tiện ích mở rộng độc hại trên các trình duyệt web dựa trên Chromium, có khả năng đánh cắp nội dung email từ Gmail và AOL.

Phần mềm độc hại GuLoader sử dụng các kỹ thuật mới để trốn tránh phần mềm bảo mật

10:00 | 04/01/2023

Các nhà nghiên cứu tại công ty an ninh mạng CrowdStrike (Mỹ) đã cho biết, nhiều kỹ thuật mới được “GuLoader” - một trình tải xuống phần mềm độc hại áp dụng để trốn tránh sự phát hiện của các phần mềm bảo mật.

Chiến dịch tấn công bằng phần mềm độc hại mới nhắm đến người dùng tại Ý

15:00 | 19/01/2023

Mới đây, một chiến dịch tấn công bằng phần mềm độc hại mới được phát hiện nhắm đến người dùng tại Ý. Phần mềm này sử dụng các email lừa đảo được thiết kế để triển khai một trình đánh cắp thông tin trên các hệ thống Windows bị xâm nhập.

EvilProxy - công cụ tấn công mới cho phép tin tặc vượt qua xác thực đa yếu tố

07:00 | 15/09/2022

Vừa qua, các nhà nghiên cứu tại công ty bảo mật Resecurity đã phát hiện một nền tảng PaaS (Phishing-as-a-Service) được gọi là “EvilProxy” (còn được gọi là Moloch), đang được các tin tặc sử dụng như một công cụ để đánh cắp mã xác thực thông báo nhằm vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA) trên các ứng dụng phổ biến như Apple, Google, Facebook,...

Chính phủ Hoa Kỳ yêu cầu đảm bảo an ninh từ các nhà cung cấp phần mềm

09:00 | 13/12/2022

Trung tuần tháng 9, Nhà Trắng thông báo Văn phòng Quản lý và Ngân sách (OMB) đã ban hành hướng dẫn mới với mục đích đảm bảo rằng các cơ quan liên bang chỉ sử dụng phần mềm an toàn. Hướng dẫn có tên “Tăng cường bảo mật của chuỗi cung ứng phần mềm thông qua các thực tiễn phát triển phần mềm an toàn” được xây dựng theo lệnh hành pháp về an ninh mạng do Tổng thống Joe Biden ký vào tháng 5/2021.

Tin tặc đánh cắp 22 triệu USD của nhà đầu tư NFT

13:00 | 08/08/2022

TRM Labs cho biết, trong tháng 5/2022 có hơn 100 báo cáo tấn công được gửi đến Chainabuse - nền tảng bảo vệ cộng đồng khỏi các dự án lừa đảo. Vào tháng 6, các cuộc tấn công, đánh cắp tiền của nhà đầu tư thông qua Discord gia tăng 55%. Ước tính số tiền mà tin tặc đánh cắp được của nhà đầu tư NFT lên tới 22 triệu USD.

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

14:00 | 29/09/2022

Vừa qua, một mã độc tàng hình mới có tên là Shikitega đã được phát hiện thông qua một chuỗi lây nhiễm nhiều giai đoạn với mục tiêu gửi các payload độc hại tới hệ điều hành Linux và các thiết bị IoT. Bài báo này tập trung trình bày về kỹ thuật lây nhiễm của loại mã độc mới trên Linux này.

Tin cùng chuyên mục

Quỹ Tiền tệ Quốc tế bị tấn công mạng

15:00 | 25/03/2024

Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.

Tấn công phishing với công cụ EVILGINX: mối đe dọa tiềm tàng

14:00 | 23/02/2024

Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.

Hãng viễn thông lớn nhất Ukraine bị tấn công mạng

15:00 | 18/12/2023

Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.