Các chuyên gia cho rằng, nhóm tin tặc IndigoZebra phải chịu trách nhiệm cho các cuộc tấn công mạng này. Theo ghi nhận của Kaspersky, các cuộc tấn công mạng sử dụng tiếng Trung này đã từng nhắm mục tiêu vào các nước Cộng hòa thuộc Liên Xô cũ.
Các mẫu email được giả mạo được gửi từ Văn phòng Tổng thống với yêu cầu xem xét khẩn cấp các sửa đổi đối với tài liệu liên quan đến cuộc họp báo sắp tới. Những email này được gửi từ hộp thư email bị xâm nhập của những nạn nhân nổi tiếng trong quá khứ, bao gồm một kho lưu trữ .RAR được bảo vệ bằng mật khẩu có tên NSC Press conference.rar. Nếu nạn nhân mở tệp, họ sẽ nhận được tệp thực thi Windows (NSC Press conference.exe), tệp này sẽ âm thầm triển khai phần mềm độc hại và backdoor "xCaon", duy trì xâm nhập bằng cách đặt khóa đăng ký.
Email lừa đảo giả danh Văn phòng Tổng thống Afghanisan
Backdoor có thể được tải xuống và tải lên các tệp, chạy các lệnh thông qua máy chủ điều khiển và kiểm soát (C2) và đánh cắp dữ liệu.
Dropbox đang bị lạm dụng như một dạng máy chủ C2 trong phiên bản mới nhất của backdoor này, được gọi là "BoxCaon".
Các nạn nhân sẽ được gán một thư mục đã được cấu hình sẵn, được đặt tên theo địa chỉ MAC của nạn nhân, chứa các hướng dẫn về phần mềm độc hại và hoạt động như một kho lưu trữ các dữ liệu bị lọc.
Các chuyên gia Check Point cho biết: "Tin tặc đã sử dụng API Dropbox để che giấu các hoạt động độc hại của chúng vì không thấy có các thông tin liên lạc bất thường nào đến các trang web".
IndigoZebra sẽ triển khai công cụ quét NetBIOS đã từng được nhóm tin tặc khác của Trung Quốc (APT10/Stone Panda) áp dụng và có thể thực thi các công cụ tiện ích mạng để tìm kiếm các mục tiêu mới.
Phần mềm độc hại được nhóm tin tặc sử dụng bao gồm Meterpreter, Poison Ivy, xDown và backdoor xCaon.
Các chuyên gia cho rằng nhóm tin tặc IndigoZebra có khả năng phải chịu trách nhiệm cho các cuộc tấn công từ năm 2014 nhắm mục tiêu vào Kyrgyzstan và Uzbekistan.
Các nhà nghiên cứu nhận xét rằng: "Mặc dù ban đầu chúng tôi quan sát thấy IndigoZebra nhắm mục tiêu tấn công vào Uzbekistan và Kyrgyzstan, nhưng giờ đây, đã có nhiều minh chứng cho thấy chiến dịch tấn công của nó đã mở rộng sang các mục tiêu mới trong khu vực, với một bộ công cụ mới".
Trần Thanh Tùng
13:00 | 28/05/2021
11:00 | 02/08/2021
10:00 | 16/05/2021
16:00 | 19/07/2021
07:00 | 24/05/2021
14:00 | 14/12/2021
13:00 | 27/04/2022
14:00 | 11/04/2024
RisePro là một trình đánh cắp thông tin dưới dạng dịch vụ, được phát hiện lần đầu tiên vào năm 2022. Tuy nhiên, mới đây phần mềm độc hại này đã xuất hiện trở lại với mã hóa chuỗi mới. Các nhà nghiên cứu tới từ công ty an ninh mạng G Data CyberDefense AG (Đức) tìm thấy một số kho GitHub cung cấp phần mềm bẻ khóa được sử dụng để phân phối RisePro.
07:00 | 08/04/2024
Tháng 01/2024, nhóm nghiên cứu Zero Day Initiative (ZDI) của hãng bảo mật Trend Micro phát hiện chiến dịch phân phối phần mềm độc hại DarkGate. Các tác nhân đe dọa đã khai thác lỗ hổng CVE-2024-21412 trong Windows Defender SmartScreen để vượt qua kiểm tra bảo mật (bypass) và tự động cài đặt phần mềm giả mạo.
08:00 | 06/02/2024
GitLab vừa phát hành các bản vá lỗi để giải quyết một lỗ hổng bảo mật nghiêm trọng trong phiên bản dành cho cộng đồng (CE) và phiên bản dành cho doanh nghiệp (EE). Lỗ hổng có thể bị khai thác để ghi các tệp tùy ý trong khi tạo workspace.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024