Chiến dịch này dường như nhằm phục vụ các mục đích gián điệp và nhắm mục tiêu vào các thực thể khác nhau liên quan đến các hoạt động chính phủ, luật pháp và tôn giáo, cũng như các tổ chức phi chính phủ trên ít nhất ba lục địa.
Hoạt động này được cho là do một nhóm tin tặc được theo dõi có tên Cicada (hay còn gọi là menuPass, Stone Panda, Potassium, APT10, Red Apollo) đã hoạt động hơn 15 năm và được biết đến ít nhất từ năm 2006.
Sử dụng VLC Media Player để triển khai trình tải phần mềm độc hại tùy chỉnh
Thời gian bắt đầu chiến dịch của Cicada đã được theo dõi đến giữa năm 2021 và vẫn còn hoạt động vào tháng 2/2022. Các nhà nghiên cứu cho rằng hoạt động này vẫn đang tiếp diễn đến tận bây giờ.
Có bằng chứng cho thấy một số quyền truy cập ban đầu vào một số mạng bị vi phạm là thông qua máy chủ Microsoft Exchange, cho thấy rằng tin tặc đã khai thác một lỗ hổng đã biết trước đó trên các máy chưa được vá.
Các nhà nghiên cứu tại Symantec (thuộc hãng Broadcom) đã phát hiện ra rằng, sau khi có được quyền truy cập vào máy mục tiêu, tin tặc đã triển khai một trình tải tùy chỉnh trên các hệ thống bị xâm phạm với sự trợ giúp của phần mềm phổ biến VLC Media Player.
Nhà phát triển thông tin cấp cao Brigid O Gorman của Symantec Threat Hunter Team nói trên trang tin tức công nghệ BleepingComputer rằng, tin tặc sử dụng phiên bản của VLC Media Player với tệp DLL độc hại trong cùng đường dẫn với các chức năng xuất của trình phát đa phương tiện.
Kỹ thuật này được gọi là DLL side-loading, được tin tặc sử dụng rộng rãi để tải phần mềm độc hại vào các quy trình hợp pháp nhằm che giấu hoạt động của chúng.
Không chỉ vậy, nhóm tin tặc cũng sử dụng backdoor Sodamaster trên các mạng bị xâm nhập, một công cụ được cho là độc quyền của nhóm tin tặc Cicada ít nhất là từ năm 2020. Sodamaster chạy trong bộ nhớ hệ thống (không có bộ lọc) và được trang bị để tránh bị phát hiện bằng cách tìm kiếm manh mối trong môi trường Sandbox trong Registry hoặc bằng cách trì hoãn việc thực thi nó.
Phần mềm độc hại cũng có thể thu thập thông tin chi tiết về hệ thống, tìm kiếm các quy trình đang chạy, tải xuống và thực thi các tải trọng khác nhau từ máy chủ ra lệnh và điều khiển.
Một số công cụ phát hiện trong chiến dịch này bao gồm:
Các nhà nghiên cứu cho biết thời gian tồn tại của những kẻ tấn công trên mạng của một số nạn nhân được phát hiện kéo dài tới 9 tháng.
Mục tiêu nhắm đến rộng hơn
Nhiều tổ chức được nhắm mục tiêu trong chiến dịch này dường như có liên quan đến chính phủ hoặc các tổ chức phi chính phủ (tham gia vào các hoạt động giáo dục hoặc tôn giáo), cũng như các công ty trong lĩnh vực viễn thông, pháp lý và dược phẩm.
Các nhà nghiên cứu của Symantec nhấn mạnh vị trí địa lý rộng rãi của chiến dịch Cicada bao gồm các nạn nhân ở Mỹ, Canada, Hồng Kông, Thổ Nhĩ Kỳ, Israel, Ấn Độ, Montenegro và Ý. Chỉ duy nhất có một nạn nhân đến từ Nhật Bản - quốc gia từng là tâm điểm của nhóm Cicada trong nhiều năm.
So với mục tiêu trước đó của nhóm thường tập trung vào các công ty có liên kết với Nhật Bản thì các nạn nhân trong chiến dịch này cho thấy nhóm tin tặc đã mở rộng sự quan tâm của mình sang các quốc gia và tổ chức khác.
Trong khi tập trung vào các công ty liên kết với Nhật Bản, Cicada đã nhắm mục tiêu đến các lĩnh vực mới khác như: y tế, quốc phòng, hàng không vũ trụ, tài chính, hàng hải, công nghệ sinh học, năng lượng và chính phủ.
Ít nhất hai thành viên của nhóm tin tặc này đã bị buộc tội ở Mỹ vì hoạt động tấn công máy tính nhằm giúp Cục An ninh Nhà nước Thiên Tân của Bộ An ninh Quốc gia Trung Quốc (MSS) lấy được tài sản trí tuệ và thông tin kinh doanh bí mật từ các nhà cung cấp dịch vụ, các cơ quan chính phủ Hoa Kỳ và hơn 45 công ty công nghệ khác.
Dương Trường
13:00 | 20/11/2023
10:00 | 25/03/2022
08:00 | 17/03/2022
15:00 | 30/03/2022
08:00 | 13/10/2023
Vào tháng 7/2023, các chuyên gia bảo mật tại nhóm nghiên cứu ThreatLabz của công ty an ninh mạng Zscaler đã phát hiện các hoạt động độc hại mới do nhóm tin tặc APT36 có trụ sở tại Pakistan thực hiện. Đây là một nhóm đe dọa mạng tinh vi có lịch sử thực hiện các hoạt động gián điệp có chủ đích ở Nam Á. ThreatLabz quan sát APT36 nhắm mục tiêu vào Chính phủ Ấn Độ bằng cách sử dụng bộ công cụ quản trị từ xa (Remote administration tool - RAT) Windows chưa từng được biết đến, các công cụ gián điệp mạng với các tính năng mới, cùng cơ chế phân phối được cải tiến và phương thức tấn công mới trên Linux.
18:00 | 22/09/2023
FortiGuard Labs mới đây vừa công bố Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu trong nửa đầu năm 2023. Đáng chú ý, các nhà nghiên cứu đã quan sát thấy sự sụt giảm đáng kể số lượng các tổ chức phát hiện phần mềm tống tiền. Điều đó cho thấy tấn công bằng mã độc tống tiền ngày càng tinh vi hơn, khó phát hiện hơn, trong khi tần suất và tác động của các cuộc tấn công có chủ đích vẫn tiếp tục gia tăng.
14:00 | 24/08/2023
Theo thống kê của cơ quan Cảnh sát quốc gia Nhật Bản, tính từ đầu năm 2023 đến nay, có đến 2.322 vụ lừa đảo đánh cắp tài khoản và mật khẩu ngân hàng tại nước này với tổng số tiền bị chiếm đoạt lên đến 3 tỷ Yen (khoảng 21 triệu USD).
12:00 | 14/08/2023
Một tính năng tìm kiếm hợp pháp của Windows đang bị khai thác bởi các tác nhân độc hại không xác định để tải xuống các payload tùy ý từ các máy chủ từ xa và xâm phạm các hệ thống được nhắm mục tiêu bằng các trojan truy cập từ xa (RAT) như AsyncRAT và Remcos RAT.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
VideoLAN vừa phát hành phiên bản VLC Media Player 3.0.20, hiện đã có sẵn cho hệ điều hành Windows, Mac và Linux để giải quyết hai lỗ hổng nghiêm trọng.
13:00 | 20/11/2023
