Thực hiện theo dõi từ tháng 6/2020 đến tháng 1/2021, Kaspersky phát hiện 80% tổ chức bị nhắm mục tiêu có trụ sở đặt tại Việt Nam, hoạt động thuộc chính phủ, quân đội hoặc có liên quan đến y tế, ngoại giao và giáo dục.
Trong lịch sử, nhóm tin tặc Cycldek thường nhắm đến các mục tiêu thuộc chính phủ tại các nước Đông Nam Á. Phần mềm độc hại được sử dụng trong chiến dịch tấn công lần này có tên FoundCore, cho phép tin tặc toàn quyền kiểm soát các máy tính bị xâm nhập và thực hiện các thao tác hệ thống tệp dữ liệu, chụp ảnh màn hình hay thực thi các lệnh tùy ý.
Theo phân tích của Kaspersky, nhóm tin tặc Cycldek đã thực hiện một chuỗi lây nhiễm sử dụng tính năng chuyền tải thư viện liên kết động (DLL side-loading) và chạy một shellcode hoạt động như một bộ tải cho FoundCore để phân phối mã độc hại. Điều này cho phép tin tặc qua mặt các sản phẩm bảo mật và triển khai RAT để cung cấp cho chúng toàn quyền kiểm soát các máy tính. Sau khi triển khai RAT, FoundCore tiếp tục thực hiện quy trình:
Bước 1: FoundCore thiết lập tính bền bỉ bằng cách tạo ra một dịch vụ.
Bước 2: FoundCore sử dụng các thông tin không rõ ràng cho dịch vụ bằng cách thay đổi các trường Description, ImagePath và DisplayName.
Bước 3: FoundCore đặt danh sách kiểm soát truy cập tùy ý (DACL) trống cho hình ảnh được liên kết với quy trình hiện tại để ngăn truy cập vào tệp độc hại cơ bản. DACL là một danh sách nội bộ được đính kèm với một đối tượng trong Active Directory để chỉ định người dùng và nhóm nào có thể truy cập đối tượng, loại hoạt động nào họ có thể thực hiện trên đối tượng.
Cuối cùng, một bootstraps được thực thi và thiết lập kết nối với máy chủ C2. Tùy thuộc vào cấu hình, FoundCore có thể tạo một bản sao của chính nó vào một quy trình khác.
Đáng lưu ý trong chuỗi lây nhiễm, FoundCore tải xuống thêm hai phần mềm gián điệp là DropPhone (giúp thu thập thông tin môi trường từ máy nạn nhân và gửi nó đến DropBox) và CoreLoader (chạy mã giúp phần mềm độc hại tránh bị các sản phẩm bảo mật phát hiện).
Theo nhận định của chuyên gia, các nhóm tin tặc này thường có xu hướng chia sẻ chiến thuật với nhau, vì vậy sẽ có rất nhiều chiến dịch tấn công khác có lối chiến thuật tấn công tương tự. Chính vì vậy các tổ chức, doanh nghiệp, đặc biệt là các cơ quan đơn vị nhà nước cần cập nhật những thông tin mới nhất về các mối đe dọa an ninh mạng để có những biện pháp phòng ngừa kịp thời trước những cuộc tấn công mạng có thể xảy ra.
Quốc Trường
09:00 | 22/03/2021
14:00 | 14/10/2020
13:00 | 09/03/2021
20:00 | 13/05/2023
Các chuyên gia của hãng bảo mật di động MalwareFox (Mỹ) đã phát hiện 27 ứng dụng có chứa mã độc gián điệp đang được phát tán trên kho ứng dụng Play Store của Google.
12:00 | 08/05/2023
Cuối tháng 4 vừa qua, các chuyên gia Bkav cảnh báo lỗ hổng nghiêm trọng tồn tại trong phần mềm quản trị website cPanel, đe dọa đến hàng triệu website trên toàn cầu, trong đó có Việt Nam.
09:00 | 04/05/2023
Mới đây, các nhà nghiên cứu bảo mật đã phát cảnh báo về việc tin tặc đang sử dụng một công cụ mới có tên AuKill để vô hiệu hóa các chương trình bảo vệ hệ thống, sau đó chúng sẽ triển khai những thứ độc hại để tấn công máy tính cá nhân người dùng.
16:00 | 26/04/2023
Mới đây, một lỗ hổng bảo mật nghiêm trọng đã được phát hiện trong sandbox JavaScript vm2 phổ biến, được sử dụng để chạy mã không tin cậy trong môi trường cô lập trên Node.js. Với gần 4 triệu lượt tải xuống hàng tuần và được tích hợp vào 721 package, lỗ hổng này có thể ảnh hưởng đến một số lượng lớn các nhà phát triển và ứng dụng.
16:00 | 09/11/2022 | Tin tức sản phẩm
08:00 | 07/11/2022 | GP ATM
10:00 | 19/09/2022|An toàn thông tin
15:00 | 16/09/2022|Tin tức sản phẩm
Anker đã xác nhận rằng trong những sản phẩm camera an ninh của họ có một số lỗ hổng bảo mật nghiêm trọng cho phép các bên thứ ba trái phép xem nguồn cấp dữ liệu trực tiếp của camera. Eufy đã tải dữ liệu người dùng lên máy chủ đám mây khi chưa có sự đồng ý của họ và lỗ hổng bảo mật có thể sử dụng liên kết từ cổng web của Eufy để xem quá trình phát trực tiếp của camera bằng trình phát đa phương tiện.
09:00 | 02/06/2023
