Theo thehackernews, chiến dịch có tên gọi là “Operation Cache Panda” bắt đầu từ cuối tháng 11/2021 và đạt đỉnh điểm trong tháng 2/2022, với các cuộc tấn công được thực hiện bởi nhóm tin tặc APT10, còn được gọi là Stone Panda, MenuPass hay Bronze Riverside. Được biết, nhóm đã hoạt động ít nhất kể từ năm 2009.
Theo đánh giá của công ty an ninh mạng CyCraft (Đài Loan), APT10 là một nhóm tin tặc được chính phủ Trung Quốc bảo trợ và có thể liên quan đến Bộ An ninh Quốc gia Trung Quốc (MSS).
Cách thức thực hiện tấn công của nhóm tin tặc Trung Quốc
Làn sóng tấn công đầu tiên: tháng 11/2021
Vào ngày 25/11/2021, một số tổ chức tài chính và chứng khoán Đài Loan đã thông báo với Sở giao dịch chứng khoán Đài Loan (TWSE) và Ủy ban giám sát tài chính (FSC) rằng, họ sẽ tạm ngừng các giao dịch trực tuyến do một cuộc tấn công mạng xảy ra.
Các cuộc điều tra phản ứng sự cố bảo mật do CyCraft tiến hành đã đưa ra giả thuyết nguyên nhân về vụ tấn công do quản lý sai mật khẩu và tin tặc thực hiện tấn công Credential stuffing. Tuy nhiên, những giả thiết này không được kết luận và cho rằng có thể có còn những nguyên nhân khác.
Làn sóng tấn công thứ 2: tháng 2/2022
Một lần nữa vào giữa tháng 2/2022, cụ thể trong khoảng thời gian từ ngày 10 đến 13/2/2022, một số tổ chức tài chính và giao dịch chứng khoán của Đài Loan tiếp tục trở thành nạn nhân của các cuộc tấn công. Các giải pháp an ninh mạng của Cycraft như Managed Detection and Response (MDR) hay Endpoint Detection and Response (EDR) đã phát hiện ra các tệp đáng ngờ và các sự kiện đăng nhập trên máy chủ của khách hàng.
Phát hiện của CyCraft MDR với tệp thực thi độc hại PresentationCache.exe
Sau quá trình điều tra kỹ lưỡng, CyCraft đã phát hiện một lỗ hổng nghiêm trọng trong phần mềm tài chính, thường được sử dụng hỗ trợ bởi một kỹ thuật tấn công mới được xác định, đó là Reflective Code Loading.
Theo đó, chiến dịch Operation Cache Panda đã khai thác một lỗ hổng an ninh trong giao diện quản lý web của một phần mềm chứng khoán, chiếm hơn 80% thị phần ở Đài Loan. Tin tặc sử dụng lỗi này để triển khai một web shell và hoạt động như một đường dẫn để phân phối Quasar RAT trên hệ thống bị xâm nhập, với mục tiêu đánh cắp thông tin nhạy cảm có giá trị.
Nền tảng CyberTotal Cyber Threat Intelligence phát hiện các hoạt động APT10
Quasar RAT là một trojan truy cập từ xa (RAT) mã nguồn mở công khai được viết bằng .NET. Các tính năng của nó bao gồm chụp ảnh màn hình, ghi lại webcam, chỉnh sửa registry, keylogging và đánh cắp mật khẩu. Ngoài ra, các cuộc tấn công đã lợi dụng một dịch vụ chia sẻ tệp đám mây của Trung Quốc, có tên là “wenshushu.cn” để tải xuống các công cụ phụ trợ.
Tiết lộ này được đưa ra khi Quốc hội Đài Loan, Ủy ban Hành pháp công bố dự thảo sửa đổi luật an ninh quốc gia, nhằm chống lại các nỗ lực gián điệp kinh tế và công nghiệp từ phía Trung Quốc.
Chiến dịch Operation Cache Panda không gây ngạc nhiên lớn, bởi vì các nhóm gián điệp mạng Trung Quốc đã để ý đến Đài Loan trong nhiều năm. Cycraft khuyến cáo đến tất cả các tổ chức, đặc biệt là các công ty tài chính gần đây bị tấn công, cần phải đảm bảo chuỗi cung ứng và cập nhật bản vá cho các lỗ hổng phần mềm sớm nhất có thể.
Đinh Hồng Đạt
13:00 | 04/06/2021
08:00 | 06/04/2022
16:00 | 08/04/2022
08:00 | 18/04/2022
14:00 | 08/02/2021
21:00 | 12/02/2021
15:00 | 13/04/2022
13:00 | 27/04/2022
10:00 | 25/03/2022
17:00 | 10/10/2024
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
10:00 | 04/10/2024
Các công ty vận tải và logistics ở Bắc Mỹ đang phải đối mặt với một làn sóng tấn công mạng mới, sử dụng các phần mềm độc hại như Lumma Stealer và NetSupport để đánh cắp thông tin và kiểm soát hệ thống từ xa.
16:00 | 27/09/2024
Một chiến dịch quốc tế phối hợp giữa các cơ quan thực thi pháp luật đã thành công trong việc triệt phá một mạng lưới tội phạm tinh vi chuyên mở khóa điện thoại di động bị mất hoặc đánh cắp. Mạng lưới này đã sử dụng nền tảng lừa đảo tự động iServer để đánh cắp thông tin đăng nhập của hàng trăm nghìn nạn nhân trên toàn thế giới.
16:00 | 03/06/2024
Nhóm Tình báo mối đe dọa của Microsoft cho biết họ đã phát hiện một tác nhân đe dọa, được theo dõi dưới tên Storm-1811, đang lạm dụng công cụ quản lý khách hàng Quick Assist để nhắm mục tiêu vào người dùng trong các cuộc tấn công kỹ thuật xã hội.
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
09:00 | 11/10/2024