Mặc dù cuộc điều tra vẫn đang diễn ra, tuy nhiên Kaspersky đã công bố một số thông tin về chiến dịch này. Được đặt tên là ShadowHammer, chiến dịch được phát hiện vào tháng 1/2019. Đây là hình thức tấn công chuỗi cung ứng tinh vi liên quan đến ASUS Live Update Utility. Tuy nhiên, trong thực tế chiến dịch này đã bắt nguồn từ tháng 6 - 11/2018 gây ảnh hưởng đến số lượng lớn người dùng.
ASUS Live Update Utility là tiện ích được cài đặt trên hầu hết các máy tính ASUS và được sử dụng để tự động cập nhật một số thành phần như BIOS, UEFI, drivers và ứng dụng. Theo Gartner, ASUS là hãng cung cấp máy tính lớn thứ 5 trên thế giới về doanh số trong năm 2017. Điều này làm cho ASUS trở thành mục tiêu của tin tặc.
Ngày 31/1/2019, Kaspersky đã thông báo cho ASUS về sự việc này. Tuy nhiên, tính tới thời điểm hiện tại, ASUS phủ nhận việc chủ đích phát tán mã độc và cho biết sẽ phát hành thông báo chính thức sau đó. Ước tính tới thời điểm hiện tại, số lượng máy tính bị lây nhiễm đã lên tới 1 triệu máy. Mã độc này được ngụy trang dưới bản cập nhật phần mềm quan trọng, phát tán từ máy chủ của ASUS và được ký bằng chứng thư số hợp lệ từ chính ASUS. Điều này làm cho mã độc dễ dàng vượt qua các phần mềm antivirus. Vì vậy, cuộc tấn công này được đánh giá có mức độ tinh vi hơn cả Shadowpad và CCleaner.
Theo các chuyên gia, mặc dù chưa xác định được động cơ của chiến dịch này, tuy nhiên, dường như tin tặc nhắm vào một số khách hàng cụ thể. Nguyên nhân, mã độc được phát hiện bao gồm hướng dẫn đặc biệt cho 600 máy tính được xác định thông qua các địa chỉ MAC. Sau khi bị lây nhiễm, mã độc sẽ cài thêm các chương trình độc hại khác để can thiệp vào hệ thống. Thông tin chi tiết về chiến dịch này sẽ được Kaspersky công bố tại Hội nghị SAS 2019 tại Singapore.
Hiện tại, Kaspersky đã phát hành 1 công cụ cho phép người dùng xác định máy tính có là mục tiêu tấn công của tin tặc hay không. Người dùng có thể truy cập tại đây và nhập địa chỉ MAC để kiểm tra độ trùng khớp.
Mã độc này được đặt tên Trojan.Win32.ShadowHammer.gen. Một số thông tin định danh về mã độc:
Tên miền và IP:
Các URL phân phối:
Mã băm:
Đây không phải là lần đâu tiên hình thức tấn công này được phát hiện. Trước đó, vào tháng 9/2017, phần mềm dọn dẹp máy tính CCleaner chứa mã độc được phát tán khiến gần 2,3 triệu người dùng bị ảnh hưởng. Khi đó, Avast đã nhanh chóng phát hành phiên bản 5.34 và khuyến cáo tới người dùng cách gỡ bỏ, khôi phục lại hệ thống khi sử dụng phiên bản 5.33.
Trí Công
Theo securelist
15:00 | 02/05/2018
16:00 | 17/05/2019
07:00 | 26/06/2023
14:00 | 22/09/2017
14:00 | 01/03/2024
Các nhà nghiên cứu của hãng bảo mật Trend Micro phát hiện các tác nhân đe dọa Water Curupira (một nhánh của nhóm tin tặc Black Basta) đang triển khai chiến dịch phân phối phần mềm độc hại PikaBot như một phần của chiến dịch email spam trong suốt năm 2023 vừa qua. Bài viết này sẽ phân tích hoạt động tấn công trong chiến dịch PikaBot cùng khuyến nghị về các biện pháp phòng tránh trước các mối đe dọa lừa đảo này.
11:00 | 07/02/2024
Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
09:00 | 17/11/2023
Dữ liệu nội bộ của Boeing, một trong những nhà thầu quốc phòng và vũ trụ lớn nhất thế giới, đã bị nhóm tin tặc Lockbit phát tán trực tuyến.
Mới đây, Cisco cảnh báo rằng một nhóm tin tặc được nhà nước bảo trợ đã khai thác hai lỗ hổng zero-day trong tường lửa Adaptive Security Appliance (ASA) và Firepower Threat Defense (FTD) kể từ tháng 11/2023 để cài đặt phần mềm độc hại trên các hệ thống mạng viễn thông và năng lượng bị ảnh hưởng tại nhiều quốc gia.
08:00 | 04/05/2024