Công ty an ninh mạng Recorded Future (Mỹ) cho biết trong một báo cáo mới: “Nhóm tin tặc RedDelta đã sử dụng các tài liệu làm mồi nhử có chủ đề xoay quanh ứng cử viên tổng thống Đài Loan năm 2024 Terry Gou, Ngày nghỉ lễ Quốc khánh Việt Nam (02/9), biện pháp bảo vệ lũ lụt ở Mông Cổ và lời mời họp, bao gồm cả cuộc họp của Hiệp hội các quốc gia Đông Nam Á (ASEAN)”.
Các nhà nghiên cứu tin rằng tác nhân đe dọa này đã xâm phạm Bộ Quốc phòng Mông Cổ vào tháng 8/2024 và nhắm mục tiêu vào các cơ quan, tổ chức của Việt Nam vào khoảng tháng 11/2024. RedDelta cũng được cho là đã nhắm mục tiêu vào nhiều nạn nhân khác nhau ở Malaysia, Nhật Bản, Mỹ, Ethiopia, Brazil, Úc và Ấn Độ từ tháng 9 đến tháng 12/2024.
Được biết, nhóm tin tặc RedDelta hoạt động kể từ năm 2012, là biệt danh được gán cho một tác nhân đe dọa do nhà nước tài trợ từ Trung Quốc. Các tin tặc này cũng được cộng đồng an ninh mạng theo dõi dưới các tên gọi khác như BASIN, Bronze President, Camaro Dragon, Earth Preta, HoneyMyte, Mustang Panda (và Vertigo Panda có liên quan chặt chẽ ), Red Lich, Stately Taurus, TA416 và Twill Typhoon.
RedDelta trong thời gian qua đã liên tục cải tiến chuỗi lây nhiễm độc hại của mình, với các cuộc tấn công gần đây khi lạm dụng Visual Studio Code để chèn mã độc hại như một phần của hoạt động gián điệp, với mục tiêu nhắm vào các thực thể chính phủ ở Đông Nam Á, một chiến thuật ngày càng được nhiều nhóm gián điệp có liên hệ với Trung Quốc áp dụng như Digital Eye và MirrorFace .
Bộ công cụ tấn công được Recorded Future ghi nhận bao gồm việc sử dụng các tệp Windows Shortcut (LNK), Windows Installer (MSI) và Microsoft Management Console (MSC), có khả năng được phân phối thông qua tấn công lừa đảo trực tuyến, như là thành phần trong giai đoạn đầu tiên kích hoạt chuỗi lây nhiễm, cuối cùng dẫn đến việc triển khai PlugX bằng các kỹ thuật DLL side-loading.
Một số chiến dịch được thực hiện vào cuối năm ngoái cũng dựa vào các email lừa đảo có chứa liên kết đến các tệp HTML lưu trữ trên Microsoft Azure làm điểm khởi đầu để kích hoạt việc tải xuống payload MSC, từ đó nhúng trình cài đặt MSI chịu trách nhiệm tải PlugX bằng một tệp thực thi hợp lệ dễ bị chiếm quyền điều khiển DLL Search Order.
Trong một dấu hiệu khác cho thấy sự cải tiến trong chiến thuật và đi trước các biện pháp phòng thủ an ninh, RedDelta đã được quan sát thấy sử dụng mạng phân phối nội dung (CDN) Cloudflare để chuyển tiếp lưu lượng mạng đến máy chủ điều khiển và ra lệnh (C2) do kẻ tấn công kiểm soát. Điều này được thực hiện để cố gắng kết hợp với lưu lượng CDN hợp pháp và làm phức tạp các nỗ lực phát hiện.
Recorded Future cho biết họ đã xác định được 10 máy chủ quản trị đang giao tiếp với hai máy chủ RedDelta C2 đã biết. Cả 10 địa chỉ IP đều được đăng ký tại Trung Quốc.
Công ty cho biết: “Các hoạt động của RedDelta phù hợp với các ưu tiên chiến lược của Trung Quốc, tập trung vào các chính phủ và tổ chức ngoại giao ở Đông Nam Á, Mông Cổ và châu Âu. Mục tiêu nhắm tới của nhóm này tập trung vào châu Á vào năm 2023 và 2024 đánh dấu sự trở lại trọng tâm trước đây của các tin tặc này sau khi nhắm tới các tổ chức châu Âu vào năm 2022”.
Diễn biến này diễn ra trong bối cảnh trang tin Bloomberg đưa tin cuộc tấn công mạng gần đây nhắm vào Bộ Tài chính Mỹ được thực hiện bởi một nhóm tin tặc có tên Silk Typhoon (hay còn gọi là Hafnium), trước đó được cho là liên quan đến vụ khai thác lỗ hổng zero-day trong Microsoft Exchange Server (hay còn gọi là ProxyLogon) vào đầu năm 2021.
Hồng Đạt
(Tổng hợp)
15:00 | 20/09/2024
10:00 | 06/02/2025
08:00 | 20/12/2024
09:00 | 06/03/2024
09:00 | 03/02/2025
Mã độc tống tiền (Ransomware) là một loại mã độc mã hóa, được xem là mối đe dọa mạng nguy hiểm nhất. Nó được phát triển với mục đích mã hóa dữ liệu và nạn nhân phải trả một số tiền nhất định để lấy lại dữ liệu hoặc ngăn dữ liệu của mình không bị rao bán trên mạng. Trong bài báo này sẽ giới thiệu lịch sử phát triển của ransomware cũng như thực trạng hiện tại của ransomware và các kỹ thuật được sử dụng để từ đó đưa ra các biện pháp giảm thiểu nguy cơ.
13:00 | 17/12/2024
Các chuyên gia cảnh báo về một chiến dịch lừa đảo mới sử dụng các tài liệu Microsoft Office và tệp ZIP bị lỗi để vượt qua các giải pháp bảo mật như phần mềm diệt virus hay bộ lọc email.
16:00 | 15/11/2024
Microsoft tiết lộ rằng, một nhóm tin tặc từ Trung Quốc được theo dõi với tên Storm-0940 đang sử dụng botnet Quad7 để dàn dựng các cuộc tấn công bằng cách dò mật khẩu (password spray) mà rất khó bị phát hiện.
08:00 | 01/11/2024
Báo cáo mới đây của hãng bảo mật Trend Micro (Mỹ) cho biết, nhóm gián điệp mạng OilRig có liên hệ với Iran đã tăng cường các hoạt động tấn công mạng nhằm vào các thực thể chính phủ của các nước khu vực Vùng Vịnh.
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
09:00 | 10/02/2025