Được liên kết với Quân Giải phóng Nhân dân Trung Quốc (PLA) hơn nửa thập kỷ trước, nhóm tin tặc Naikon được phát hiện vào năm 2020 đã thực hiện một chiến dịch bí mật kéo dài 5 năm chống lại các mục tiêu ở Australia, Indonesia, Philippines, Việt Nam, Thái Lan, Myanmar và Brunei. Nhóm này nhắm mục tiêu tập trung vào các tổ chức chính phủ và quân đội.
Cho đến nay các báo cáo về hoạt động của Naikon chỉ được công bố vào năm 2015 và 2020. Tuy nhiên, các cuộc tấn công có chủ đích đã hoạt động âm thầm trong ít nhất một thập kỷ, thực hiện các thay đổi về cơ sở hạ tầng và bộ công cụ để tránh bị phát hiện.
Năm 2020, sau khi hoạt động bị lộ, Naikon đã thực hiện một động thái tương tự: chuyển sang sử dụng một cửa hậu mới, nhưng tiếp tục sử dụng phần mềm độc hại đã biết trước đó cho các giai đoạn tấn công đầu tiên. Nhóm cũng đã lợi dụng phần mềm hợp pháp cho các mục đích bất chính.
Bitdefender cho biết chiến dịch mới nhất được tiến hành từ tháng 6/2019 đến tháng 3/2021, sử dụng một trong những cửa hậu mới có tên RainyDay. Hoạt động này được phát hiện lần đầu tiên trong các cuộc tấn công vào tháng 9/2020. Để không bị phát hiện, nhóm tin tặc bắt chước phần mềm hợp pháp đang chạy trên các máy bị nhiễm mã độc. Mục đích của các cuộc tấn công vẫn là hoạt động gián điệp và đánh cắp dữ liệu và tiếp tục tập trung vào các mục tiêu Đông Nam Á.
Cửa hậu RainyDay cho phép những kẻ tấn công thực hiện do thám trên các máy tính bị nhiễm, triển khai proxy, cài đặt máy quét, thực thi các công cụ để kết xuất mật khẩu và di chuyển theo chiều ngang trong mạng của nạn nhân.
Bitdefender giải thích: Naikon luôn sử dụng tính năng tải bên DLL cho quá trình thực thi RainyDay và luôn có một tệp thực thi dễ bị tấn công cùng với tệp DLL và tệp rdmin.src chứa cổng hậu được mã hóa.
Kỹ thuật thực thi tương tự cùng với việc sử dụng rdmin.src được nhóm tin tặc Cycldek liên kết với Trung Quốc (Goblin Panda, Conimes) sử dụng để triển khai FoundCore RAT. Hơn nữa, mã shellcode được sử dụng để trích xuất gói tin độc hại và các đặc điểm khác cho thấy mối liên hệ chặt chẽ giữa hai họ phần mềm độc hại, có thể có sự chồng chéo trong hoạt động giữa hai nhóm.
Những điểm tương đồng này không có gì đáng ngạc nhiên, vì các nhóm tin tặc Trung Quốc được biết là đang chia sẻ cơ sở hạ tầng và công cụ và Naikon trước đây đã từng sử dụng nhằm tránh bị phát hiện.
Như một phần của các cuộc tấn công mới nhất, Naikon cũng triển khai một cửa hậu mới thứ hai có tên là Nebulae làm một biện pháp phòng ngừa.
Cố gắng mạo danh một ứng dụng hợp pháp, cửa hậu Nebulae có thể thu thập thông tin ổ đĩa, liệt kê và sửa đổi các tệp và thư mục, thực thi và chấm dứt các quy trình cũng như tải xuống và chạy các tệp từ máy chủ điều khiển (C&C).
Bitdefender lưu ý: Dữ liệu mà chúng tôi thu được cho đến nay hầu như không nói gì về vai trò của Nebulae trong hoạt động này, tuy nhiên sự hiện diện của cơ chế duy trì sự tồn tại lâu dài có thể có nghĩa là nó được sử dụng làm điểm truy cập dự phòng trong trường hợp có tình huống tiêu cực đối với các tác nhân. Hơn nữa, thông tin đăng nhập tài khoản quản trị domain đã được sử dụng để di chuyển ngang trong mạng, có thể là sau khi bị đánh cắp ở giai đoạn đầu của cuộc tấn công. Sự tồn tại lâu dài thường đạt được theo cách thủ công, trong khi dữ liệu quan tâm đã được chuyển sang Dropbox."
Nguyễn Anh Tuấn (theo Security Week)
09:00 | 06/04/2021
14:00 | 24/03/2021
10:00 | 12/07/2021
16:00 | 19/07/2021
13:00 | 30/07/2024
Hiện nay, mật mã đang được sử dụng ngày càng phổ biến, giúp nâng cao hiệu quả trong đảm bảo an toàn thông tin. Hệ mật RSA với độ dài khóa 2048 bit đang được sử dụng rộng rãi ở Việt Nam và trong hệ thống chứng thực số công vụ (CTSCV). Việc nâng cấp mật mã toàn diện bao gồm cả thuật toán, phần cứng, phần mềm, chính sách trong hệ thống chứng thực số công vụ từ đầu năm 2024 sẽ tiếp tục nâng cao độ an toàn về bảo mật cho các giao dịch điện tử của các cơ quan Đảng, Nhà nước, góp phần quan trọng công cuộc chuyển đổi số, xây dựng Chính phủ số.
14:00 | 23/05/2024
Đó là thông tin được hãng bảo mật Zscaler (California) công bố trong báo cáo rủi ro VPN năm 2024. Báo cáo đã làm sáng tỏ các xu hướng VPN quan trọng và cung cấp thông tin về các giải pháp để bảo mật người dùng từ xa.
10:00 | 06/10/2023
Sáng ngày 05/10, tại Hà Nội, Ban Cơ yếu Chính phủ tổ chức phiên họp thứ nhất của Ban Soạn thảo xây dựng Nghị định quy định về chữ ký số chuyên dùng công vụ. Đồng chí Vũ Ngọc Thiềm, Trưởng ban Ban Cơ yếu Chính phủ, Trưởng Ban Soạn thảo chủ trì phiên họp.
13:00 | 20/09/2023
Trong vài năm qua, các máy chủ Linux đã ngày càng trở thành mục tiêu nổi bật của các tác nhân đe dọa. Mới đây, Kaspersky đã tiết lộ một chiến dịch độc hại trong đó một trình cài đặt phần mềm có tên “Free Download Manager” được các tin tặc sử dụng để cài đặt backdoor trên các máy chủ Linux kéo dài trong suốt 3 năm qua. Các nhà nghiên cứu phát hiện ra rằng nạn nhân đã bị lây nhiễm khi họ tải xuống phần mềm từ trang web chính thức, cho thấy đây có thể là một cuộc tấn công chuỗi cung ứng. Các biến thể của phần mềm độc hại được sử dụng trong chiến dịch này lần đầu tiên được xác định vào năm 2013.
Trong thời đại ngày nay, cùng với sự phát triển của khoa học kỹ thuật có ngày càng nhiều những cuộc tấn công vào phần cứng và gây ra nhiều hậu quả nghiêm trọng. So với các loại tấn công khác, tấn công qua kênh kề đang được nghiên cứu do khả năng khôi phục lại khóa bí mật trong khi hệ thống vẫn hoạt động bình thường mà không hề làm thay đổi phần cứng. Bài báo này sẽ trình bày một cách sơ lược về những kết quả cuộc tấn công kênh kề lên mã hóa RSA cài đặt trên điện thoại thông minh sử dụng hệ điều hành Android tại Viện Khoa học - Công nghệ mật mã. Nhóm tác giả đã tấn công khôi phục được một phần khóa bí mật của mã hóa RSA cài đặt trên điện thoại thông minh và chứng minh khả năng rò rỉ thông tin qua kênh kề.
14:00 | 11/09/2024
Chiều 2/10, Thủ tướng Phạm Minh Chính, Chủ tịch Ủy ban Quốc gia về chuyển đổi số, chủ trì Hội nghị trực tuyến triển khai mở rộng thí điểm sổ sức khỏe điện tử và cấp phiếu lý lịch tư pháp qua ứng dụng VneID trên toàn quốc. Hội nghị được kết nối trực tuyến (4 cấp) từ trụ sở Chính phủ tới các bộ, ngành, các tỉnh, thành phố trực thuộc Trung ương, các địa phương cấp huyện, cấp xã.
15:00 | 03/10/2024