Các chuyên gia Cybereason Nocturnus đã phát hiện ra các mẫu mã độc thuộc bộ công cụ RoyalRoad mới hiện đang được sử dụng trong các cuộc tấn công mạng. Một trong những mẫu mã độc mới này đã làm cho các chuyên gia của Cybereason Nocturnus đặc biệt chú ý, nó sử dụng cửa hậu PortDoor (một loại cửa hậu mới, chưa từng xuất hiện trước đây) ở máy nạn nhân.
Sau khi phân tích và đánh giá mẫu phần mềm độc hại chi tiết hơn, các chuyên gia Cybereason Nocturnus kết luận rằng, việc khai thác và sử dụng bộ công cụ RoyalRoad (8.t Dropper/RTF) với mẫu mới PortDoor đang được các nhóm APT sử dụng theo lợi ích của chính phủ Trung Quốc.
Một trong những mục tiêu được các nhóm APT nhắm đến đó là Trung tâm Thiết kế về Kỹ thuật Hàng hải mang tên Rubin. Đây là một trong những doanh nghiệp lớn của Nga tham gia thiết kế tàu ngầm. Kể từ năm 1938, Trung tâm Thiết kế về Kỹ thuật Hàng hải Rubin đã phối hợp chặt chẽ với lực lượng hải quân Nga. Do vậy, Trung tâm trở thành mục tiêu quan trọng đối với tội phạm mạng liên quan đến chính phủ của các nước.
Trong giai đoạn đầu của cuộc tấn công, các nhóm APT của Trung Quốc sử dụng kỹ thuật Spear Phishing, qua hình thức gửi thư điện tử có chứa mã độc đến ông Igor Vladimirovich Vilnit - Tổng giám đốc của Trung tâm Thiết kế về Kỹ thuật Hàng hải Rubin
Nội dung thư điện tử sử dụng kỹ thuật Spear Phishing
Mã độc nằm trong tệp đính kèm với định dạng RTF, được xây dựng theo bộ công cụ RoyalRoad. Sau khi người dùng tải xuống và mở tệp RTF, một tài liệu Microsoft Word được tạo ra và mở trên máy tính của nạn nhân, khiến cho người dùng không phát hiện rằng mình đang mở và kích hoạt một tệp có chứa phần mềm độc hại.
Nội dung một tệp tin dưới định dạng word
Sau đó, một cửa hậu chưa được biết đến trước đây có tên là winlog.wll được tạo và hoạt động trên máy tính của nạn nhân, cửa hậu này có những tính năng chính sau:
Trong nhiều năm, Royal Road là công cụ được một số nhóm APT Trung Quốc sử dụng thường xuyên (Goblin Panda, Rancor Group, TA428, Tick và Tonto Team). Các nhóm APT này đã sử dụng nó trong các cuộc tấn công lừa đảo có chủ đích từ cuối năm 2018, thông qua việc khai thác các lỗ hổng trong Microsoft Equation Editor (CVE-2017-11882, CVE-2018-0798, CVE-2018-0802) và sử dụng các tài liệu RTF độc hại để phát tán các mềm độc hại xâm nhập vào hệ thống của nạn nhân mà không bị phát hiện.
Nam Trần (theo Anti-malware)
09:00 | 20/08/2020
10:00 | 12/07/2021
14:00 | 24/03/2021
11:00 | 02/08/2021
09:00 | 28/04/2024
Trong một chiến dịch tấn công gần đây, các tác nhân đe dọa đã lạm dụng chức năng tìm kiếm của GitHub và sử dụng các kho lưu trữ được thiết kế đặc biệt để phát tán phần mềm độc hại nhằm đánh cắp các khoản thanh toán bằng tiền điện tử.
10:00 | 10/04/2024
Một nhà cung cấp dịch vụ trung tâm dữ liệu bị tấn công với hình thức và thủ đoạn tương tự như vụ tấn công mã độc tống tiền vào VnDirect, chỉ khác về loại mã độc cụ thể mà tin tặc dùng để mã hóa dữ liệu.
11:00 | 29/02/2024
Các nhà nghiên cứu của hãng bảo mật Palo Alto Networks (Mỹ) đã phát hiện một biến thể mới của Trojan ngân hàng Mispadu đang tiến hành các hoạt động khai thác lỗ hổng Windows SmartScreen đã được vá để nhắm mục tiêu đến các nạn nhân ở Mexico. Bài viết sẽ phân tích và thảo luận xoay quanh biến thể mới của Mispadu và tấn công khai thác lỗ hổng Windows SmartScreen dựa trên báo cáo của Palo Alto Networks.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024