Chiến dịch tấn công liên quan tới một nhóm tin tặc TA428 được cho là có mối liên hệ với Trung Quốc. Nhóm này được biết đến với hành vi đánh cắp thông tin và hoạt động gián điệp cũng như tấn công các tổ chức ở châu Á và Đông Âu.
TA428 đã xâm nhập thành công mạng của hàng chục mục tiêu, thậm chí chiếm quyền kiểm soát toàn bộ cơ sở hạ tầng mạng thông qua việc tấn công các hệ thống được sử dụng để quản lý các giải pháp an ninh.
TA428 sử dụng các email lừa đảo có chứa thông tin bí mật về các tổ chức được nhắm mục tiêu và mã độc khai thác lỗ hổng CVE-2017-11882 trong Microsoft Office để triển khai phần mềm độc hại PortDoor.
PortDoor cũng được sử dụng trong các cuộc tấn công lừa đảo trực tuyến do các tin tặc Trung Quốc khởi xướng vào tháng 4/2021 để xâm nhập vào hệ thống của một nhà thầu quốc phòng thiết kế tàu ngầm cho Hải quân Nga.
Sau khi xâm nhập thành công mục tiêu, nhiều backdoor có liên quan tới TA428 được triển khai, bao gồm nccTrojan, Logtu, Cotx, DNSep và CotSam. Backdoor cho phép tin tặc thu thập, đánh cắp thông tin hệ thống và các tệp từ các thiết bị bị xâm nhập.
Để triển khai phần mềm độc hại CotSam, tin tặc sử dụng tệp Microsoft Word độc hại với các mã độc tương ứng trên hai phiên bản Microsoft Word 2007 cho hệ thống 32-bit và Microsoft Word 2010 cho hệ thống 64-bit.
Sau khi mở rộng tấn công trong mạng bằng cách rò quét, tìm kiếm, khai thác lỗ hổng và khởi chạy công cụ bẻ khóa mật khẩu Ladon, tin tặc sẽ có đặc quyền miền và thu thập nhiều thông tin bí mật.
Các thông tin này được gửi cho các máy chủ C2 từ các quốc gia khác nhau dưới dạng tệp ZIP được mã hóa và bảo vệ bằng mật khẩu. Các bằng chứng đều cho thấy, tất cả các thông tin bị đánh cắp chuyển đến máy chủ có địa chỉ IP của Trung Quốc.
Thông qua việc phân tích chiến thuật, kỹ thuật và quy trình, phương thức khai thác, các công cụ và máy chủ C2 được sử dụng, và thời gian hoạt động của phần mềm độc hại, các nhà nghiên cứu kết luận TA428 là nhóm đứng đằng sau các cuộc tấn công này.
M.H
13:00 | 08/08/2022
10:00 | 15/02/2023
13:00 | 02/08/2022
23:00 | 28/09/2023
08:00 | 23/06/2022
15:00 | 30/08/2022
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024