Chiến dịch tấn công liên quan tới một nhóm tin tặc TA428 được cho là có mối liên hệ với Trung Quốc. Nhóm này được biết đến với hành vi đánh cắp thông tin và hoạt động gián điệp cũng như tấn công các tổ chức ở châu Á và Đông Âu.
TA428 đã xâm nhập thành công mạng của hàng chục mục tiêu, thậm chí chiếm quyền kiểm soát toàn bộ cơ sở hạ tầng mạng thông qua việc tấn công các hệ thống được sử dụng để quản lý các giải pháp an ninh.
TA428 sử dụng các email lừa đảo có chứa thông tin bí mật về các tổ chức được nhắm mục tiêu và mã độc khai thác lỗ hổng CVE-2017-11882 trong Microsoft Office để triển khai phần mềm độc hại PortDoor.
PortDoor cũng được sử dụng trong các cuộc tấn công lừa đảo trực tuyến do các tin tặc Trung Quốc khởi xướng vào tháng 4/2021 để xâm nhập vào hệ thống của một nhà thầu quốc phòng thiết kế tàu ngầm cho Hải quân Nga.
Sau khi xâm nhập thành công mục tiêu, nhiều backdoor có liên quan tới TA428 được triển khai, bao gồm nccTrojan, Logtu, Cotx, DNSep và CotSam. Backdoor cho phép tin tặc thu thập, đánh cắp thông tin hệ thống và các tệp từ các thiết bị bị xâm nhập.
Để triển khai phần mềm độc hại CotSam, tin tặc sử dụng tệp Microsoft Word độc hại với các mã độc tương ứng trên hai phiên bản Microsoft Word 2007 cho hệ thống 32-bit và Microsoft Word 2010 cho hệ thống 64-bit.
Sau khi mở rộng tấn công trong mạng bằng cách rò quét, tìm kiếm, khai thác lỗ hổng và khởi chạy công cụ bẻ khóa mật khẩu Ladon, tin tặc sẽ có đặc quyền miền và thu thập nhiều thông tin bí mật.
Các thông tin này được gửi cho các máy chủ C2 từ các quốc gia khác nhau dưới dạng tệp ZIP được mã hóa và bảo vệ bằng mật khẩu. Các bằng chứng đều cho thấy, tất cả các thông tin bị đánh cắp chuyển đến máy chủ có địa chỉ IP của Trung Quốc.
Thông qua việc phân tích chiến thuật, kỹ thuật và quy trình, phương thức khai thác, các công cụ và máy chủ C2 được sử dụng, và thời gian hoạt động của phần mềm độc hại, các nhà nghiên cứu kết luận TA428 là nhóm đứng đằng sau các cuộc tấn công này.
M.H
13:00 | 08/08/2022
10:00 | 15/02/2023
13:00 | 02/08/2022
23:00 | 28/09/2023
08:00 | 23/06/2022
15:00 | 30/08/2022
10:00 | 13/09/2024
Các chuyên gia bảo mật từ Palo Alto Networks (Hoa Kỳ) vừa phát hiện một chiến dịch tấn công bằng mã độc mới với thủ đoạn tinh vi thông qua kết quả tìm kiếm trên Google.
17:00 | 12/07/2024
Một hoạt động thực thi pháp luật có tên là MORPHEUS đã đánh sập gần 600 máy chủ được các nhóm tội phạm mạng sử dụng và một phần của cơ sở hạ tầng có liên quan đến Cobalt Strike.
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
20:00 | 07/06/2024
Ngày 4/6 vừa qua, một số bệnh viện ở London cho biết họ phải tạm dừng hoạt động và gửi bệnh nhân đi sang các cơ sở khám bệnh khác vì một cuộc tấn công mạng nhằm vào một công ty cung cấp dịch vụ y tế - Synnovis.
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 02/10/2024