Nhóm tin tặc này có tên là Scarred Manticore và đã hoạt động ít nhất từ năm 2019, được cho là có mối liên hệ chặt chẽ với tổ chức mới nổi Storm-0861, một trong bốn nhóm tin tặc của Iran có liên quan đến các cuộc tấn công mạng vào Chính phủ Albania năm ngoái. Nạn nhân của chiến dịch này trải dài trên nhiều quốc gia khác nhau như Ả Rập Saudi, Các Tiểu vương quốc Ả Rập Thống nhất (UAE), Jordan, Kuwait, Oman, Iraq và Israel.
Scarred Manticore có một số điểm trùng lặp với OilRig, một nhóm tin tặc Iran gần đây đã tấn công mạng vào chính phủ một quốc gia tại Trung Đông kể từ tháng 2 đến tháng 9/2023 như một phần của chiến dịch kéo dài 8 tháng.
Các chuỗi tấn công do Scarred Manticore thực hiện đã nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông ở Trung Đông bằng cách sử dụng backdoor có tên là HTTPSnoop, bao gồm các kỹ thuật mới để giao tiếp với các thiết bị và trình điều khiển nhân HTTP của Windows để lắng nghe các yêu cầu đến đối với các URL HTTP/HTTPS cụ thể và thực thi nội dung đó trên điểm cuối bị lây nhiễm.
Chiến dịch của Scarred Manticore có đặc điểm là sử dụng framework phần mềm độc hại chưa được biết đến trước đây có lên là LIONTAIL được cài đặt trên máy chủ Windows.
Các nhà nghiên cứu Check Point cho biết trong một phân tích vào ngày 31/10: “Scarred Manticore đã theo đuổi các mục tiêu có giá trị cao trong nhiều năm, sử dụng nhiều backdoor trên IIS để tấn công các máy chủ Windows. Chúng bao gồm nhiều webshell và backdoor DDL tùy chỉnh trên trình điều khiển”.
LIONTIAL là một phần mềm độc hại nâng cao, nó là một tập hợp các trình tải shellcode tùy chỉnh và payload shellcode nằm trong bộ nhớ. Một thành phần đáng chú ý của framework này là một phần mềm độc hại tinh vi được viết bằng ngôn ngữ C cho phép kẻ tấn công thực thi các lệnh từ xa thông qua các yêu cầu HTTP.
Chuỗi tấn công đòi hỏi phải xâm nhập công khai vào các máy chủ Windows để khởi động quá trình phân phối phần mềm độc hại và thu thập dữ liệu nhạy cảm một cách có hệ thống từ các máy chủ bị nhiễm.
Lịch sử hoạt động của Scarred Manticore cho thấy sự phát triển liên tục của kho vũ khí phần mềm độc hại của nhóm này, trong đó có Tunna - một phần mềm độc hại dựa vào các webshell với phiên bản tiếng Việt có tên FOXSHELL, tạo đường hầm cho mọi giao tiếp TCP qua HTTP.
Kể từ giữa năm 2020, Scarred Manticore cũng đã sử dụng một backdoor dựa trên .NET có tên SDD để thiết lập giao tiếp với máy chủ điều khiển từ xa thông qua trình nghe HTTP trên máy bị nhiễm, với mục tiêu cuối cùng là thực thi các lệnh tùy ý, tải lên (upload) và tải xuống tệp (download), cũng như chạy các tập hợp .NET bổ sung.
Các bản cập nhật đối với chiến thuật và công cụ của nhóm tin tặc này là điển hình của chiến dịch APT, thể hiện nguồn lực cũng như kỹ năng đa dạng của chúng. Điều này được minh họa rõ nhất qua việc Scarred Manticore sử dụng trình điều khiển độc hại có tên WINTAPIX đã bị Fortinet phát hiện vào đầu tháng 5/2023.
Check Point cho biết: “Các thành phần framework của LIONTAIL chia sẻ các chuỗi và mã hóa tương tự với các trình điều khiển FOXSHELL, backdoor SDD và WINTAPIX”.
Lê Thị Bích Hằng
21:00 | 16/11/2023
12:00 | 12/04/2024
10:00 | 22/11/2023
08:00 | 28/11/2023
10:00 | 06/12/2023
17:00 | 24/12/2021
12:00 | 25/10/2023
11:00 | 02/08/2021
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024