Những phát hiện này đến từ công ty an ninh mạng DCSO (Đức), công ty đã liên kết hoạt động này có nguồn gốc từ các tác nhân đe dọa tới từ Triều Tiên nhắm vào Nga, trong đó có Bộ Ngoại giao nước này (MID), nêu bật các hoạt động gián điệp mạng đang diễn ra với mục tiêu là các cơ quan trong Chính phủ Nga.
Vào tháng 11/2023, hãng bảo mật Fortinet (Mỹ) cũng đã tiết lộ việc các tin tặc sử dụng tài liệu Microsoft Word bằng tiếng Nga để phát tán phần mềm độc hại có khả năng thu thập thông tin nhạy cảm từ các máy chủ Windows bị xâm nhập.
Konni RAT là một công cụ phần mềm độc hại tinh vi mà các tác nhân đe dọa mạng sử dụng để truy cập trái phép vào hệ thống, thực thi lệnh từ xa và đánh cắp dữ liệu nhạy cảm. Được quan sát lần đầu tiên vào năm 2014, Konni RAT có liên quan đến một số chiến dịch tấn công mạng của Triều Tiên, cho thấy việc các tác nhân đe dọa sử dụng phần mềm độc hại này trong các nỗ lực gián điệp mạng. Konni RAT có thể chụp ảnh màn hình, thu thập các lần thao tác gõ phím và đánh cắp dữ liệu, gây ra mối đe dọa đáng kể đối với tính toàn vẹn và bảo mật của các hệ thống bị xâm nhập.
DCSO cho biết việc đóng gói Konni RAT trong trình cài đặt phần mềm là một kỹ thuật đã được nhóm tin tặc Konni áp dụng trước đó vào tháng 10/2023, khi các tin tặc này bị phát hiện lợi dụng một phần mềm kê khai thuế của Nga có tên Spravki BK để phát tán trojan. Trong trường hợp phân phối Konni RAT, backdoor được cài đặt có tên là Statistika KZU (Cтатистика КЗУ).
Hình 1. Giao diện hiển thị của Statistika KZU
Trình cài đặt bị xâm nhập được thiết kế với mục đích sử dụng trong hệ thống mạng nội bộ của MID, đặc biệt để chuyển tiếp các tệp báo cáo hàng năm từ các cơ quan lãnh sự ở nước ngoài (КЗУ — консульские загранучреждения) đến Cục Lãnh sự của MID thông qua một kênh kết nối an toàn.
Trình cài đặt bị trojan hóa là một tệp MSI, khi khởi chạy sẽ bắt đầu trình tự lây nhiễm nhằm thiết lập liên hệ với máy chủ điều khiển và ra lệnh (C2) để chờ hướng dẫn thêm và cho phép lọc dữ liệu nhạy cảm.
Hình 2. Tập lệnh của phần mềm độc hại Konni RAT
Như đã đề cập, Konni RAT có khả năng truyền tệp và thực thi lệnh, được cho là đã hoạt động ít nhất kể từ đầu năm 2014, phần mềm độc hại này đã được các tác nhân đe dọa khác của Triều Tiên như Kimsuky và ScarCruft (còn gọi là APT37) sử dụng trong các chiến dịch tấn công mạng khác nhau.
Cuộc tấn công mạng này đã phản ánh những căng thẳng địa chính trị đang diễn ra và vai trò của gián điệp mạng trong quan hệ quốc tế. Việc phần mềm độc hại Konni RAT xâm nhập vào phần mềm của Chính phủ Nga nhấn mạnh bối cảnh ngày càng phát triển của các mối đe dọa mạng cũng như tầm quan trọng của các biện pháp cảnh giác và chủ động bảo mật.
Khi các tin tặc được nhà nước bảo trợ ngày càng phát triển các kỹ thuật tấn công mạng, sự hợp tác giữa các chuyên gia và tổ chức bảo mật trở nên đặc biệt quan trọng trong việc giảm thiểu rủi ro do các mối đe dọa phần mềm độc hại tinh vi như Konni RAT gây ra.
Hồng Đạt
(Tổng hợp)
08:00 | 12/03/2024
07:00 | 16/01/2024
10:00 | 13/03/2024
13:00 | 28/03/2024
17:00 | 02/07/2021
09:00 | 03/08/2016
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
14:00 | 22/02/2024
Các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một dòng phần mềm độc hại mới được phân phối một cách bí mật thông qua các ứng dụng, phần mềm bẻ khóa (crack), nhắm mục tiêu vào ví tiền điện tử của người dùng macOS. Theo các nhà nghiên cứu, mối đe dọa mới này có những tính năng nổi trội hơn so với việc cài đặt trái phép Trojan trên các máy chủ proxy đã được phát hiện trước đó.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024