Các nhà nghiên cứu quy kết cuộc tấn công này được thực hiện bởi nhóm tin tặc Blackwood, nhóm này đã hoạt động ít nhất kể từ năm 2018. Tin tặc đã sử dụng các cuộc tấn công AitM (Adversary in the Middle) để triển khai mã độc NSPX30 thông qua các bản cập nhật phần mềm phổ biến tại Trung Quốc như Sogou Pinyin, Tencent QQ và WPS Office.
Hình 1. Chuỗi lây nhiễm mã độc NSPX30
Mã độc NSPX30 bao gồm backdoor, dropper, trình cài đặt, trình tải và bộ điều phối, đồng thời có thể ẩn vị trí máy chủ điều khiển và ra lệnh (C2) thông qua việc chặn lưu lượng truy cập nhằm lẩn tránh phát hiện. NSPX30 được các tin tặc sử dụng để tấn công tới các mục tiêu cá nhân, tổ chức tại Trung Quốc và Nhật Bản, trong đó có một doanh nghiệp sản xuất và kinh doanh ở Trung Quốc cũng như một công ty sản xuất của Nhật Bản.
Hình 2. Phân bổ vị trí của các nạn nhân
ESET cho biết, mã độc NSPX30 dường như là phiên bản kế thừa của backdoor có tên là Project Wood, đóng vai trò là cơ sở mã cho nhiều phần mềm độc hại khác nhau, bao gồm cả mã độc DCM vào năm 2008 (còn gọi là Dark Spectre), mà NSPX30 có nguồn gốc từ đó.
Báo cáo công khai về Project Wood cho thấy rằng backdoor này đã từng được các tin tặc sử dụng trong một số cuộc tấn công trước đây, bao gồm cả vụ việc nhắm vào một nhân vật chính trị ở Hồng Kông thông qua kỹ thuật tấn công Spearphishing vào năm 2011. Phần mềm độc hại có một trình tải và một backdoor có thể thu thập thông tin chi tiết về hệ thống và mạng, ghi lại các lần thao tác bàn phím và chụp ảnh màn hình.
Tương tự như DCM, NSPX30 dựa vào các cuộc tấn công AitM để phân phối các payload độc hại và có thể vượt qua được một số giải pháp chống phần mềm độc hại của Trung Quốc. Tuy nhiên, mã độc này có cấu hình thành phần khác, với các hoạt động được chia thành hai giai đoạn, trong khi đó mã của DCM được chia thành các thành phần nhỏ hơn.
Theo ESET, Blackwood có khả năng triển khai payload độc hại trên hệ thống mạng của nạn nhân, có thể trên các bộ định tuyến và cổng dễ bị tấn công, sau đó sử dụng nó để chặn lưu lượng HTTP không được mã hóa liên quan đến các bản cập nhật và thay vào đó cung cấp NSPX30 dropper.
Khi được khởi chạy, backdoor sẽ tạo ra một UDP socket lắng nghe thụ động với một cổng do hệ điều hành chỉ định. Cổng tương tự có thể được sử dụng cho cả việc nghe lệnh và lọc dữ liệu, với payload chịu trách nhiệm cho việc chuyển tiếp các gói tin.
Nguyễn Hữu Hưng
(Tổng hợp)
10:00 | 05/10/2023
09:00 | 06/03/2024
17:00 | 11/08/2023
15:00 | 19/02/2024
10:00 | 21/02/2024
10:00 | 07/04/2023
09:00 | 01/04/2024
10:00 | 26/11/2024
Các tài liệu được công bố trong cuộc chiến pháp lý đang diễn ra giữa WhatsApp của Meta và NSO Group đã tiết lộ rằng, nhà cung cấp phần mềm gián điệp của Israel đã sử dụng nhiều lỗ hổng nhắm vào ứng dụng nhắn tin để phân phối phần mềm gián điệp Pegasus.
17:00 | 22/11/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Group-IB (Singapore) vừa phát hiện một chiến dịch tấn công mạng mới vô cùng tinh vi, lạm dụng các thuộc tính mở rộng của tệp macOS để phát tán một loại Trojan mới có tên gọi là “RustyAttr”. Bài viết này sẽ cùng phân tích và tìm hiểu về kỹ thuật tấn công này, dựa trên báo cáo của Group-IB.
10:00 | 04/10/2024
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
07:00 | 10/09/2024
Trong bối cảnh chuyển đổi số và hội nhập quốc tế ngày càng sâu rộng, Việt Nam đang trở thành mục tiêu hấp dẫn cho các cuộc tấn công chuỗi cung ứng tinh vi. Các doanh nghiệp Việt từ các tổ chức nhỏ đến các tập đoàn lớn đều phải đối mặt với nguy cơ bị tấn công qua những lỗ hổng bảo mật trong hệ thống của đối tác hay nhà cung cấp.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024