Các nhà nghiên cứu bảo mật Den Luzvyk, Tim Peck và Oleg Kolesnikov của hãng bảo mật Securonix (Mỹ) cho biết: “Chiến dịch này diễn ra với hai mục đích, một là bán quyền truy cập vào máy chủ bị xâm nhập, hai là cài cắm ”, đồng thời quy kết cho các tác nhân đe dọa đến từ Thổ Nhĩ Kỳ thực hiện với tên gọi là RE#TURGENCE.
Quyền truy cập ban đầu vào máy chủ đòi hỏi phải tiến hành các cuộc tấn công brute-force, sau đó là sử dụng tùy chọn cấu hình xp_cmdshell để chạy các lệnh shell trên máy chủ bị xâm nhập. Hành động này tương tự với một chiến dịch trước đó có tên là DB#JAMMER được công bố vào tháng 9/2023.
Giai đoạn này mở đường cho việc truy xuất tập lệnh PowerShell từ một máy chủ từ xa chịu trách nhiệm tìm nạp phần mềm độc hại . Sau đó, bộ cung cụ sau khai thác được sử dụng để tải xuống ứng dụng hỗ trợ máy tính từ xa AnyDesk từ một mạng chia sẻ được gắn kết để truy cập vào máy tính, đồng thời tải xuống các công cụ bổ sung như Mimikatz để thu thập thông tin và Advanced Port Scanner để tiền hành trinh sát mạng.
Các hành động thực hiện trên máy mục tiêu được thực hiện bằng tiện ích PsExec, đây là tiện ích quản trị hệ thống có thể thực thi các chương trình trên máy chủ Windows từ xa.
Cuối cùng, các tin tặc triển khai phần mềm mã độc tống tiền Mimic. Sau khi quá trình mã hóa hoàn tất, tiến trình red.exe sẽ thực thi thông báo mã hóa/thanh toán được lưu trên ổ C:\ của nạn nhân dưới dạng “—IMPORTANT—NOTICE—.txt”. Tệp văn bản chứa thông báo sau:
Thông báo thanh toán mã độc tống tiền Mimic
Mimic lần đầu tiên được xác định và thu hút được sự chú ý vào tháng 01/2023. Một biến thể của nó cũng được sử dụng trong chiến dịch DB#JAMMER.
Nhà nghiên cứu Kolesnikov chia sẻ: “Các chỉ số và cách thức tấn công được sử dụng trong hai chiến dịch là hoàn toàn khác nhau, vì vậy khả năng rất cao đây là hai chiến dịch khác nhau. Cụ thể hơn, tuy là các phương pháp xâm nhập ban đầu tương tự nhau, nhưng DB#JAMMER phức tạp hơn một chút và sử dụng đường hầm (tunnel). Trong khi đó, chiến dịch RE#TURGENCE nhắm mục tiêu rộng hơn và có xu hướng sử dụng các công cụ hợp pháp cũng như giám sát và quản lý từ xa, chẳng hạn như AnyDesk, để cố gắng trốn tránh sự phát hiện của các giải pháp bảo mật”.
Các nhà nghiên cứu cảnh báo: “Cần cân nhắc việc để các máy chủ quan trọng trực tiếp kết nối với môi trường Internet. Trong chiến dịch RE#TURGENCE, những kẻ tấn công có thể trực tiếp tấn công vào máy chủ từ bên ngoài vùng mạng chính”.
Lê Thị Bích Hằng
(Tổng hợp)
08:00 | 11/01/2024
14:00 | 07/03/2022
09:00 | 29/01/2024
07:00 | 06/03/2023
16:00 | 27/09/2024
Chiều ngày 27/9, tại Hà Nội, Tạp chí An toàn thông tin đã tổ chức Hội nghị Hội đồng biên tập Ấn phẩm Khoa học và Công nghệ trong lĩnh vực an toàn thông tin. Đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ, Chủ tịch Hội đồng biên tập Ấn phẩm đã tham dự và chủ trì Hội nghị.
14:00 | 11/09/2024
Theo thông tin từ Sở Thông tin và Truyền thông (TT&TT) tỉnh Quảng Ninh, thời gian gần đây, lợi dụng thiệt hại do bão số 3 (Yagi) gây ra tại tỉnh Quảng Ninh, đã xuất hiện fanpage trên mạng xã hội Facebook giả mạo Hội Chữ thập đỏ tỉnh Quảng Ninh để lừa đảo bằng cách kêu gọi quyên góp, ủng hộ người dân bị ảnh hưởng bởi cơn bão số 3. Sở khuyến cáo, người dân cần cảnh giác, không gửi tiền quyên góp, ủng hộ đồng bào bị thiệt vào các tài khoản không rõ nguồn gốc.
14:00 | 11/09/2024
Trong 02 ngày 07 - 08/9/2024, Học viện Kỹ thuật mật mã đã tổ chức thành công Hội thảo UEC Đông Nam Á lần thứ 11 và Hội thảo chuyên ngành UEC lần thứ 6. Đặc biệt, hai nhóm sinh viên của Học viện Kỹ thuật mật mã đã xuất sắc giành giải thưởng "Young Researchers Encouragement Award", nhờ những nghiên cứu nổi bật của mình.
10:00 | 10/09/2024
Chương trình “Vinh quang thầm lặng 2024” do Ban Cơ yếu Chính phủ chỉ đạo, Tạp chí An toàn thông tin phối hợp với Oscar Media tổ chức đặc biệt chào mừng Kỷ niệm 80 năm ngày thành lập QĐND Việt Nam (22/12/1944-22/12/2024), 35 năm Ngày Quốc phòng toàn dân (22/12/1989-22/12/2024) và Kỷ niệm 79 năm Ngày thành lập ngành Cơ yếu Việt Nam (12/9/1945-12/9/2024). Chương trình diễn ra tại Trung tâm Hội nghị Quốc gia Hà Nội ngày 06/9/2024, phát sóng trực tiếp trên kênh Truyền hình Quốc phòng Việt Nam, với sự tài trợ chính của Công ty Cổ phần Sản xuất và Kinh doanh VinFast.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.
10:00 | 25/10/2024
Cách mạng công nghiệp 4.0 đang trở thành hiện thực, một phần không nhỏ nhờ công nghệ Internet vạn vật công nghiệp (IIoT) và các mạng 5G dùng riêng. Đến năm 2029, thị trường cách mạng công nghiệp 4.0 dự kiến sẽ đạt giá trị 377,30 tỷ USD. Bà Marie Hattar, Phó Chủ tịch cấp cao Keysight Technologies (Hoa Kỳ), đã chia sẻ tầm quan trọng của 5G trong hành trình cách mạng công nghiệp 4.0.
13:00 | 22/10/2024
