Các nhà nghiên cứu bảo mật Den Luzvyk, Tim Peck và Oleg Kolesnikov của hãng bảo mật Securonix (Mỹ) cho biết: “Chiến dịch này diễn ra với hai mục đích, một là bán quyền truy cập vào máy chủ bị xâm nhập, hai là cài cắm ”, đồng thời quy kết cho các tác nhân đe dọa đến từ Thổ Nhĩ Kỳ thực hiện với tên gọi là RE#TURGENCE.
Quyền truy cập ban đầu vào máy chủ đòi hỏi phải tiến hành các cuộc tấn công brute-force, sau đó là sử dụng tùy chọn cấu hình xp_cmdshell để chạy các lệnh shell trên máy chủ bị xâm nhập. Hành động này tương tự với một chiến dịch trước đó có tên là DB#JAMMER được công bố vào tháng 9/2023.
Giai đoạn này mở đường cho việc truy xuất tập lệnh PowerShell từ một máy chủ từ xa chịu trách nhiệm tìm nạp phần mềm độc hại . Sau đó, bộ cung cụ sau khai thác được sử dụng để tải xuống ứng dụng hỗ trợ máy tính từ xa AnyDesk từ một mạng chia sẻ được gắn kết để truy cập vào máy tính, đồng thời tải xuống các công cụ bổ sung như Mimikatz để thu thập thông tin và Advanced Port Scanner để tiền hành trinh sát mạng.
Các hành động thực hiện trên máy mục tiêu được thực hiện bằng tiện ích PsExec, đây là tiện ích quản trị hệ thống có thể thực thi các chương trình trên máy chủ Windows từ xa.
Cuối cùng, các tin tặc triển khai phần mềm mã độc tống tiền Mimic. Sau khi quá trình mã hóa hoàn tất, tiến trình red.exe sẽ thực thi thông báo mã hóa/thanh toán được lưu trên ổ C:\ của nạn nhân dưới dạng “—IMPORTANT—NOTICE—.txt”. Tệp văn bản chứa thông báo sau:
Thông báo thanh toán mã độc tống tiền Mimic
Mimic lần đầu tiên được xác định và thu hút được sự chú ý vào tháng 01/2023. Một biến thể của nó cũng được sử dụng trong chiến dịch DB#JAMMER.
Nhà nghiên cứu Kolesnikov chia sẻ: “Các chỉ số và cách thức tấn công được sử dụng trong hai chiến dịch là hoàn toàn khác nhau, vì vậy khả năng rất cao đây là hai chiến dịch khác nhau. Cụ thể hơn, tuy là các phương pháp xâm nhập ban đầu tương tự nhau, nhưng DB#JAMMER phức tạp hơn một chút và sử dụng đường hầm (tunnel). Trong khi đó, chiến dịch RE#TURGENCE nhắm mục tiêu rộng hơn và có xu hướng sử dụng các công cụ hợp pháp cũng như giám sát và quản lý từ xa, chẳng hạn như AnyDesk, để cố gắng trốn tránh sự phát hiện của các giải pháp bảo mật”.
Các nhà nghiên cứu cảnh báo: “Cần cân nhắc việc để các máy chủ quan trọng trực tiếp kết nối với môi trường Internet. Trong chiến dịch RE#TURGENCE, những kẻ tấn công có thể trực tiếp tấn công vào máy chủ từ bên ngoài vùng mạng chính”.
Lê Thị Bích Hằng
(Tổng hợp)
08:00 | 11/01/2024
14:00 | 07/03/2022
09:00 | 29/01/2024
07:00 | 06/03/2023
13:00 | 21/08/2024
Chỉ trong vòng vài tháng, tốc độ Internet di động tại Việt Nam đã có bước nhảy vọt đáng kinh ngạc, nhờ vào chính sách công khai chất lượng dịch vụ. Người dùng đang được hưởng lợi trực tiếp từ sự cạnh tranh giữa các nhà mạng.
13:00 | 06/08/2024
Các nhà nghiên cứu tại Uruguay vừa phát hiện ra một phương thức tấn công mạng mới đáng lo ngại, sử dụng trí tuệ nhân tạo (AI) để giải mã thông tin hiển thị trên màn hình máy tính từ xa thông qua việc phân tích bức xạ điện từ rò rỉ từ cáp kết nối.
17:00 | 12/07/2024
Một tệp tin chứa 10 tỷ mật khẩu ở dạng văn bản thuần túy đã bị phát tán trên mạng và được xem là vụ rò rỉ mật khẩu lớn nhất từ trước đến nay.
15:00 | 25/06/2024
Ngày 25/6, Hiệp hội An toàn thông tin Việt Nam (VNISA) tổ chức Lễ công bố tiêu chuẩn cơ sở TCCS:03/2024/VNISA về “Yêu cầu kỹ thuật đối với sản phẩm, dịch vụ bảo vệ trẻ em trên môi trường mạng”.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Chương trình nghệ thuật đặc biệt chào mừng Kỷ niệm 80 năm Ngày thành lập Quân đội nhân dân Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày hội Quốc phòng toàn dân (22/12/1989-22/12-2024) và Kỷ niệm 79 năm Ngày tryền thống ngành cơ yếu Việt Nam (12/9/1945-12/9/2024) sẽ diễn ra vào 20h10, thứ 6 ngày 06/9/2024 tại Trung tâm Hội nghị Quốc gia - Hà Nội.
12:00 | 29/08/2024
Chính phủ Hàn Quốc đưa ra cáo buộc rằng tin tặc Triều Tiên đã đánh cắp thông tin quan trọng về xe tăng K2, xe tăng chiến đấu chủ lực của nước này, cũng như máy bay do thám có tên Baekdu và Geumgang.
11:00 | 26/08/2024
Kể từ tháng 8/2023, các nền tảng kỹ thuật số lớn nhất thế giới phải đối mặt với các quy định nghiêm ngặt nhất từ trước đến nay tại Liên minh châu Âu.
08:00 | 26/08/2024
