UNC4191 từng bị phát hiện nhắm mục tiêu vào các tổ chức công và tư nhân ở Đông Nam Á, Châu Á-Thái Bình Dương, Châu Âu, Hoa Kỳ và đặc biệt tập trung vào Philippines. Theo kết quả điều tra, nhóm tin tặc này đã sử dụng các dòng mã độc như Mistcloak launcher, Darkdew dropper và Bluehaze launcher. UNC4191 đã triển khai tiện ích NCAT (cho mục đích tải tệp xuống và tải tệp lên) và một reverse shell trên máy mục tiêu, để tạo cửa hậu xâm nhập vào hệ thống.
Chu kỳ lây nhiễm bắt đầu bằng việc người dùng kết nối ổ đĩa di động bị nhiễm với máy của họ, điều này sẽ kích hoạt việc thực thi một phiên bản của ứng dụng USB Network Gate thành side-load Mistcloak. Mã độc này tải một tệp INI có chứa Darkdew, được thiết kế để đeo bám dai dẳng và lây nhiễm các ổ USB khi chúng được kết nối với hệ thống. Mã độc Bluehaze launcher hoạt động ở giai đoạn thứ ba của chuỗi lây nhiễm, sẽ thực thi một tệp NCAT đã được đổi tên và tạo ra một reverse shell cho một máy chủ C&C cố định.
Hiện tại, Mandiant chưa thấy bằng chứng về tương tác reverse shell. Tuy nhiên, dựa trên thời gian hoạt động, điều này có thể do khoảng cách hiển thị hoặc thời gian lưu giữ log ngắn. Các chuyên gia cho rằng chiến dịch đã diễn ra ít nhất là từ tháng 9/2021, tập trung vào việc làm tổn hại các tổ chức công và tư nhân để tiến hành các hoạt động gián điệp mạng liên quan đến lợi ích chính trị và thương mại của Trung Quốc.
Nguyễn Chân
13:00 | 02/12/2022
10:00 | 15/02/2023
09:00 | 29/10/2024
14:00 | 21/11/2022
10:00 | 22/12/2022
14:00 | 21/11/2022
09:00 | 02/04/2024
11:00 | 29/11/2024
Microsoft đã thu giữ 240 tên miền được khách hàng của nền tảng dịch vụ lừa đảo qua mạng ONNX sử dụng để nhắm vào các cá nhân và tổ chức của Mỹ và trên toàn thế giới kể từ năm 2017.
15:00 | 27/11/2024
Starbucks đang phải đối mặt với hậu quả của một cuộc tấn công sử dụng ransomware nhắm vào nhà cung cấp phần mềm cho thương hiệu này, khiến việc chấm công tại các cửa hàng phải chuyển qua phương pháp thủ công.
09:00 | 18/11/2024
Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025