Chiến dịch này dường như nhằm phục vụ các mục đích gián điệp và nhắm mục tiêu vào các thực thể khác nhau liên quan đến các hoạt động chính phủ, luật pháp và tôn giáo, cũng như các tổ chức phi chính phủ trên ít nhất ba lục địa.
Hoạt động này được cho là do một nhóm tin tặc được theo dõi có tên Cicada (hay còn gọi là menuPass, Stone Panda, Potassium, APT10, Red Apollo) đã hoạt động hơn 15 năm và được biết đến ít nhất từ năm 2006.
Sử dụng VLC Media Player để triển khai trình tải phần mềm độc hại tùy chỉnh
Thời gian bắt đầu chiến dịch của Cicada đã được theo dõi đến giữa năm 2021 và vẫn còn hoạt động vào tháng 2/2022. Các nhà nghiên cứu cho rằng hoạt động này vẫn đang tiếp diễn đến tận bây giờ.
Có bằng chứng cho thấy một số quyền truy cập ban đầu vào một số mạng bị vi phạm là thông qua máy chủ Microsoft Exchange, cho thấy rằng tin tặc đã khai thác một lỗ hổng đã biết trước đó trên các máy chưa được vá.
Các nhà nghiên cứu tại Symantec (thuộc hãng Broadcom) đã phát hiện ra rằng, sau khi có được quyền truy cập vào máy mục tiêu, tin tặc đã triển khai một trình tải tùy chỉnh trên các hệ thống bị xâm phạm với sự trợ giúp của phần mềm phổ biến VLC Media Player.
Nhà phát triển thông tin cấp cao Brigid O Gorman của Symantec Threat Hunter Team nói trên trang tin tức công nghệ BleepingComputer rằng, tin tặc sử dụng phiên bản của VLC Media Player với tệp DLL độc hại trong cùng đường dẫn với các chức năng xuất của trình phát đa phương tiện.
Kỹ thuật này được gọi là DLL side-loading, được tin tặc sử dụng rộng rãi để tải phần mềm độc hại vào các quy trình hợp pháp nhằm che giấu hoạt động của chúng.
Không chỉ vậy, nhóm tin tặc cũng sử dụng backdoor Sodamaster trên các mạng bị xâm nhập, một công cụ được cho là độc quyền của nhóm tin tặc Cicada ít nhất là từ năm 2020. Sodamaster chạy trong bộ nhớ hệ thống (không có bộ lọc) và được trang bị để tránh bị phát hiện bằng cách tìm kiếm manh mối trong môi trường Sandbox trong Registry hoặc bằng cách trì hoãn việc thực thi nó.
Phần mềm độc hại cũng có thể thu thập thông tin chi tiết về hệ thống, tìm kiếm các quy trình đang chạy, tải xuống và thực thi các tải trọng khác nhau từ máy chủ ra lệnh và điều khiển.
Một số công cụ phát hiện trong chiến dịch này bao gồm:
Các nhà nghiên cứu cho biết thời gian tồn tại của những kẻ tấn công trên mạng của một số nạn nhân được phát hiện kéo dài tới 9 tháng.
Mục tiêu nhắm đến rộng hơn
Nhiều tổ chức được nhắm mục tiêu trong chiến dịch này dường như có liên quan đến chính phủ hoặc các tổ chức phi chính phủ (tham gia vào các hoạt động giáo dục hoặc tôn giáo), cũng như các công ty trong lĩnh vực viễn thông, pháp lý và dược phẩm.
Các nhà nghiên cứu của Symantec nhấn mạnh vị trí địa lý rộng rãi của chiến dịch Cicada bao gồm các nạn nhân ở Mỹ, Canada, Hồng Kông, Thổ Nhĩ Kỳ, Israel, Ấn Độ, Montenegro và Ý. Chỉ duy nhất có một nạn nhân đến từ Nhật Bản - quốc gia từng là tâm điểm của nhóm Cicada trong nhiều năm.
So với mục tiêu trước đó của nhóm thường tập trung vào các công ty có liên kết với Nhật Bản thì các nạn nhân trong chiến dịch này cho thấy nhóm tin tặc đã mở rộng sự quan tâm của mình sang các quốc gia và tổ chức khác.
Trong khi tập trung vào các công ty liên kết với Nhật Bản, Cicada đã nhắm mục tiêu đến các lĩnh vực mới khác như: y tế, quốc phòng, hàng không vũ trụ, tài chính, hàng hải, công nghệ sinh học, năng lượng và chính phủ.
Ít nhất hai thành viên của nhóm tin tặc này đã bị buộc tội ở Mỹ vì hoạt động tấn công máy tính nhằm giúp Cục An ninh Nhà nước Thiên Tân của Bộ An ninh Quốc gia Trung Quốc (MSS) lấy được tài sản trí tuệ và thông tin kinh doanh bí mật từ các nhà cung cấp dịch vụ, các cơ quan chính phủ Hoa Kỳ và hơn 45 công ty công nghệ khác.
Dương Trường
15:00 | 15/11/2023
10:00 | 25/03/2022
08:00 | 17/03/2022
15:00 | 30/03/2022
16:00 | 15/11/2024
Microsoft tiết lộ rằng, một nhóm tin tặc từ Trung Quốc được theo dõi với tên Storm-0940 đang sử dụng botnet Quad7 để dàn dựng các cuộc tấn công bằng cách dò mật khẩu (password spray) mà rất khó bị phát hiện.
07:00 | 23/10/2024
Ivanti đã đưa ra cảnh báo rằng 03 lỗ hổng bảo mật mới ảnh hưởng đến Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đang bị tin tặc khai thác một cách tích cực.
10:00 | 04/10/2024
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
12:00 | 03/10/2024
Mới đây, các chuyên gia bảo mật tại Kaspersky phát hiện ra 2 phần mềm có chứa mã độc Necro trên cửa hàng ứng dụng Play Store của Google. Đáng chú ý, 2 phần mềm độc hại này đã có tới hơn 11 triệu lượt tải xuống trước khi được các chuyên gia phát hiện.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025