Nhóm gián điệp được theo dõi với tên gọi Salt Typhoon, đã xâm nhập vào các công ty của Hoa Kỳ. Đây là một phần của chiến dịch kéo dài nhiều tháng được thiết kế để thu thập thông tin liên lạc qua điện thoại di động của các mục tiêu tình báo có giá trị cao.
Với diễn biến mới nhất, T-Mobile đã gia nhập danh sách các tổ chức lớn như AT&T, Verizon và Lumen Technologies bị chỉ đích danh là mục tiêu của chiến dịch gián điệp mạng toàn diện.
Cho đến nay, các báo cáo không đề cập đến mức độ thành công của các cuộc tấn công này, liệu có bất kỳ loại phần mềm độc hại nào được cài đặt hay không hoặc chúng nhắm đến loại thông tin nào.
Chính phủ Hoa Kỳ cho biết đang tiến hành các cuộc điều tra về việc nhắm mục tiêu vào cơ sở hạ tầng viễn thông thương mại, tiết lộ một vụ tấn công với quy mô lớn do Cộng hòa Nhân dân Trung Hoa (PRC) chỉ đạo. Báo cáo cũng nêu rằng các tác nhân có liên hệ với Cộng hòa Nhân dân Trung Hoa đã xâm nhập vào mạng lưới tại nhiều công ty viễn thông để đánh cắp dữ liệu hồ sơ cuộc gọi của khách hàng, xâm phạm các thông tin liên lạc riêng tư của một số cá nhân chủ yếu tham gia vào hoạt động chính phủ hoặc chính trị và sao chép một số thông tin thuộc đối tượng yêu cầu của cơ quan thực thi pháp luật Hoa Kỳ theo lệnh của tòa án.
Salt Typhoon (còn được gọi là Earth Estries, FamousSparrow, GhostEmperor và UNC2286) được cho là đã hoạt động ít nhất từ năm 2020. Vào tháng 8/2023, nhóm gián điệp đã liên kết với một loạt các cuộc tấn công nhằm vào chính phủ và các ngành công nghiệp công nghệ có trụ sở tại Philippines, Đài Loan, Malaysia, Nam Phi, Đức và Hoa Kỳ
Phân tích cho thấy những kẻ tấn công đã tạo ra các phần mềm độc hại một cách có phương pháp và sử dụng sự kết hợp thú vị giữa các công cụ và kỹ thuật hợp pháp, chuyên dụng để vượt qua hàng phòng thủ và duy trì quyền truy cập vào mục tiêu của chúng.
"Earth Estries duy trì tính bền bỉ bằng cách liên tục cập nhật các công cụ và sử dụng các cửa hậu để di chuyển ngang hàng và đánh cắp thông tin đăng nhập", các nhà nghiên cứu cho biết trong một phân tích đầy đủ được công bố vào đầu tháng 11.
Trong một loạt các cuộc tấn công, kẻ tấn công đã bị phát hiện lợi dụng các cài đặt QConvergeConsole dễ bị tấn công hoặc cấu hình sai để phát tán phần mềm độc hại như Cobalt Strike, một trình đánh cắp dựa trên Go tùy chỉnh có tên là TrillClient và các cửa hậu như HemiGate và Crowdoor, một biến thể của SparrowDoor trước đây đã được một nhóm khác có liên hệ với Trung Quốc có tên là Tropic Trooper sử dụng.
Một số kỹ thuật khác bao gồm việc sử dụng PSExec để cài đặt các công cụ và cửa hậu theo chiều ngang và TrillClient để thu thập thông tin đăng nhập người dùng từ hồ sơ người dùng trên trình duyệt web và đánh cắp chúng vào tài khoản Gmail do kẻ tấn công kiểm soát thông qua Simple Mail Transfer Protocol (SMTP) để đạt được mục tiêu của mình.
Ngược lại, trình tự lây nhiễm thứ hai phức tạp hơn nhiều, khi kẻ tấn công lợi dụng các máy chủ Microsoft Exchange dễ bị tấn công để cấy shell web China Chopper, sau đó được sử dụng để phát tán Cobalt Strike, Zingdoor và Snappybee (hay còn gọi là Deed RAT), một phiên bản kế nhiệm của phần mềm độc hại ShadowPad .
Ngoài ra, các chương trình như NinjaCopy để trích xuất thông tin xác thực và PortScan để khám phá và lập bản đồ mạng cũng được sử dụng trong các cuộc tấn công. Tính bền bỉ trên máy chủ được thực hiện thông qua các tác vụ theo lịch trình.
Hà Phương
08:00 | 06/02/2024
16:00 | 15/11/2024
17:00 | 01/03/2024
15:00 | 27/12/2024
Mới đây, Công ty an ninh mạng Bitsight (Mỹ) đã phát hiện mạng lưới botnet BadBox bao gồm hơn 190.000 thiết bị Android, trong đó chủ yếu là các thiết bị TV thông minh Yandex và điện thoại thông minh Hisense.
16:00 | 27/11/2024
Ngày nay, cụm từ "chuỗi cung ứng" đã vô cùng phổ biến trong những câu chuyện đời sống hàng ngày và trở thành một yếu tố then chốt trong nền kinh tế toàn cầu, đóng vai trò quan trọng trong việc sản xuất và phân phối hàng hóa và dịch vụ. Đây cũng là mục tiêu mà tội phạm công nghệ cao nhắm tới bằng phần mềm độc hại hay nhiều cách thức khác nhau.
14:00 | 28/10/2024
Nhóm tin tặc Awaken Likho hay còn được gọi với cái tên Core Werewolf đã quay trở lại và tiếp tục nhắm mục tiêu vào các cơ quan chính phủ, doanh nghiệp lớn. Bài viết này sẽ tiến hành phân tích kỹ thuật tấn công của nhóm dựa trên công bố của hãng bảo mật Kaspersky.
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025