Công ty Trend Micro (Mỹ) đang theo dõi nhóm tin tặc dưới biệt danh TIDRONE và cho rằng hoạt động này là do gián điệp thúc đẩy vì tập trung vào các chuỗi ngành liên quan đến quân sự.
Hiện tại, vẫn chưa rõ vectơ truy cập ban đầu chính xác được sử dụng để xâm phạm mục tiêu, tuy nhiên với phân tích của Trend Micro đã phát hiện ra việc triển khai phần mềm độc hại tùy chỉnh như CXCLNT và CLNTEND bằng các công cụ máy tính để bàn từ xa như UltraVNC.
Một điểm chung thú vị được quan sát thấy ở các nạn nhân khác nhau là sự hiện diện của cùng một phần mềm lập kế hoạch nguồn lực doanh nghiệp (ERP), làm tăng khả năng xảy ra một cuộc tấn công chuỗi cung ứng.
Chuỗi tấn công sau đó trải qua ba giai đoạn khác nhau được thiết kế để tạo điều kiện leo thang đặc quyền bằng cách bỏ qua Kiểm soát truy cập người dùng (UAC), đánh cắp và trốn tránh phòng thủ bằng cách vô hiệu hóa các sản phẩm diệt virus được cài đặt trên máy chủ.
Cả hai backdoor đều được khởi tạo bằng cách tải một DLL độc hại qua ứng dụng Microsoft Word, cho phép các tác nhân đe dọa thu thập nhiều thông tin nhạy cảm.
CXCLNT được trang bị các khả năng tải lên và tải xuống tệp cơ bản, cũng như các tính năng để xóa dấu vết, thu thập thông tin nạn nhân như danh sách tệp và tên máy tính, cũng như tải xuống tệp thực thi di động (PE) và tệp DLL giai đoạn tiếp theo để thực thi.
CLNTEND lần đầu tiên được phát hiện vào tháng 4/2024, là một công cụ truy cập từ xa (RAT), hỗ trợ nhiều giao thức mạng để giao tiếp (bao gồm TCP, HTTP, HTTPS, TLS và SMB (cổng 445)).
Các nhà nghiên cứu bảo mật Pierre Lee và Vickie Su cho biết: “Sự nhất quán về thời gian biên dịch tệp và thời gian hoạt động của tác nhân đe dọa với các hoạt động gián điệp khác của hỗ trợ cho đánh giá rằng chiến dịch này có khả năng được thực hiện bởi một nhóm tin tặc nói tiếng Trung Quốc chưa được xác định”.
Hà Phương
14:00 | 05/09/2024
14:00 | 10/05/2024
17:00 | 07/12/2020
16:00 | 27/09/2024
Chiều ngày 27/9, tại Hà Nội, Tạp chí An toàn thông tin đã tổ chức Hội nghị Hội đồng biên tập Ấn phẩm Khoa học và Công nghệ trong lĩnh vực an toàn thông tin. Đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ, Chủ tịch Hội đồng biên tập Ấn phẩm đã tham dự và chủ trì Hội nghị.
16:00 | 25/09/2024
Sáng 25/9, Trung tâm Công nghệ thông tin và Giám sát an ninh mạng (Ban Cơ yếu Chính phủ) phối hợp cùng một số cơ quan, đơn vị trong và ngoài Ban Cơ yếu Chính phủ tổ chức khai mạc diễn tập thực chiến đảm bảo an toàn thông tin mạng cho hệ thống công nghệ thông tin tại Ban Cơ yếu Chính phủ năm 2024.
07:00 | 10/09/2024
Chính phủ Úc cho biết nước này có kế hoạch đưa ra các quy tắc quản lý trí tuệ nhân tạo (AI) trong bối cảnh các công cụ AI đang được triển khai nhanh chóng bởi các doanh nghiệp và trong cuộc sống hàng ngày.
12:00 | 08/09/2024
Sau đây là một số dấu mốc quan trọng, tiêu biểu của ngành Cơ yếu Việt Nam liên quan đến ngày 08 tháng 9 mà Tạp chí An toàn thông tin điện tử tổng hợp. Xin kính mời quý vị và các bạn lắng nghe.
Sau những trận lũ lụt, lở đất ở miền Bắc gần đây, đã có nhiều báo cáo về những kẻ lừa đảo đóng giả là các tổ chức từ thiện hoặc cơ quan chính phủ.
16:00 | 04/10/2024
Ngày 19/9/2024, tại Hà Nội, Chi hội Nhà báo Tạp chí An toàn thông tin đã tổ chức thành công Đại hội Chi hội nhiệm kỳ 2024 - 2027.
07:00 | 20/09/2024
Ngày 30/9, Adobe chính thức ra mắt tính năng hỗ trợ tiếng Việt dành cho phần mềm Photoshop trên máy tính, giúp người dùng Việt thỏa sức sáng tạo mà không gặp trở ngại về ngôn ngữ.
12:00 | 03/10/2024