Hotline: 024 38357975
Liên hệ tòa soạn
Giới thiệu
Đăng nhập

Tin tặc Trung Quốc nhắm mục tiêu vào các tổ chức chính phủ và viễn thông bằng phần mềm độc hại Net-Star

12:28 | 05/10/2025
Hồng Đạt

Theo báo cáo của công ty an ninh mạng Palo Alto Networks (Mỹ), nhóm tin tặc APT Phantom Taurus đến từ Trung Quốc đã nhắm mục tiêu vào các tổ chức chính phủ và viễn thông, để thực hiện hoạt động gián điệp trong hơn hai năm qua.

Được phát hiện lần đầu vào năm 2023, thời gian gần đây các nhà nghiên cứu phát hiện Phantom Taurus có liên quan đến các nhóm tin tặc Trung Quốc thông qua cơ sở hạ tầng chung, chiến thuật, kỹ thuật và quy trình (TTP) của nhóm này khác với các tác nhân đe dọa khác.

Palo Alto Networks giải thích rằng Phantom Taurus sử dụng cơ sở hạ tầng hoạt động chung dành riêng cho APT Trung Quốc, nhắm mục tiêu vào các tổ chức có giá trị cao (như Bộ Ngoại giao và Đại sứ quán), phù hợp với lợi ích kinh tế và địa chính trị của quốc gia này.

Đáng chú ý, điểm khác biệt của Phantom Taurus là việc sử dụng một chiến thuật TTP khác biệt, chẳng hạn như các dòng phần mềm độc hại Spectre, Net-Star và phần mềm độc hại Ntospy. Các công cụ thường được tin tặc Trung Quốc sử dụng, chẳng hạn như China Chopper, Potato và Impacket, cũng nằm trong “kho vũ khí” của nhóm này.

Các nhà nghiên cứu cho rằng, các tin tặc nhắm mục tiêu vào các máy chủ email để thu thập các thông tin quan trọng và đánh cắp các cơ sở dữ liệu bị xâm phạm trong các cuộc tấn công vào các tổ chức tại châu Phi, Trung Đôngchâu Á.

Năm 2025, nhóm Phantom Taurus bắt đầu sử dụng Net-Star, một dòng phần mềm độc hại .NET nhắm vào các máy chủ web IIS, bao gồm backdoor IIServerCore và hai biến thể trình tải phần mềm độc hại .NET AssemblyExecuter.

Theo các nhà nghiên cứu, backdoor IIServerCore hoạt động hoàn toàn trong bộ nhớ, nó có thể nhận và thực thi các payload và đối số, đồng thời có thể gửi kết quả đến máy chủ điều khiển và ra lệnh (C&C). Ngoài ra, phần mềm độc hại này còn hỗ trợ các lệnh tích hợp để thực hiện các hoạt động trên hệ thống, truy cập cơ sở dữ liệu, thực thi mã tùy ý, web shell, trốn tránh và bypass các giải pháp bảo mật, payload trực tiếp vào bộ nhớ và mã hóa giao tiếp với máy chủ C&C.

Trình tải phần mềm độc hại đầu tiên, AssemblyExecuter V1 có thể thực thi các tập hợp .NET khác trong bộ nhớ, cho phép kẻ tấn công tải và thực thi mã bổ sung sau khi xâm nhập.

Trong khi đó, AssemblyExecuter V2 có cùng mục đích cốt lõi, nhưng có khả năng né tránh nâng cao, với các phương pháp chuyên dụng để bypass cơ chế bảo mật Antimalware Scan Interface (AMSI) và Event Tracing for Windows (ETW).

Palo Alto Networks cho biết: “Chúng tôi nhận thấy các tin tặc quan tâm đến các hoạt động liên lạc ngoại giao, tình báo quốc phòng và các bộ, ngành quan trọng của chính phủ. Thời điểm và phạm vi hoạt động của nhóm này thường trùng khớp với các sự kiện liên quan đến tấn công mạng và các vấn đề an ninh khu vực”.

Twitter Zalo Facebook YouTube Copy Link QR Code
PHANTOM TAURUS NGOẠI GIAO THỰC THI MÃ TÙY Ý TÌNH BÁO QUỐC PHÒNG ĐÁNH CẮP THÔNG TIN SPECTRE NTOSPY BACKDOOR NET-STAR PHẦN MỀM ĐỘC HẠI TIN TẶC TRUNG QUỐC
Để lại bình luận
TIN ĐỌC NHIỀU
Tin cùng chuyên mục
    ẤN PHẨM IN
    Tạp chí in Chuyên san
    Trang liên kết