Qua việc theo dõi, các chuyên gia phát hiện 2 lớn diễn ra gần đây. Thứ nhất là chiến dịch lây lan mã độc SOGU được cho là của nhóm APT TEMP.Hex (hay còn được gọi với các tên như Mustang Panda, HoneyMyte, TA416…). Đây được coi là cuộc tấn công gián điệp mạng điển hình dựa trên USB, với mục tiêu thu thập thông tin tình báo trong các lĩnh vực công nghiệp, xây dựng, y tế, vận tải, năng lượng… tại Châu Âu, Châu Á và Mỹ. Thứ hai là chiến dịch lây lan mã độc SNOWYDRIVE được cho là của nhóm APT UNC4698 với mục tiêu nhắm đến là các công ty, tập đoàn dầu mỏ của Châu Á. Cả hai này đều được xác định là có liên quan đến Trung Quốc.
Các khu vực bị lây nhiễm mã độc của nhóm TMP.Hex và các lĩnh vực bị ảnh hưởng.
Mã độc SOGU lây lan nhanh chóng và mạnh mẽ thông qua các và đã được xuất hiện ở nhiều quốc gia theo nhiều lĩnh vực. Thông qua kỹ thuật DLL hijacking mã độc SOGU khi được kích hoạt sẽ tải phần mềm độc hại KORPLUG vào bộ nhớ, đồng thời tạo ra các tệp lây nhiễm tại các vị trí khác nhau:
Vị trí và các tệp độc hại được lưu trữ
Sau đó, phần mềm độc hại tìm kiếm trên ổ C máy tính nạn nhân các tệp có định dạng: *.doc,*.docx , *.ppt , *.pptx , *.xls , *.xlsx và *.pdf và mã hóa một bản sao của mỗi tệp, mã hóa tên tệp gốc bằng Base64 và lưu các tệp được mã hóa vào các thư mục: C:\Users\<user>\AppData\Roaming\Intel\<SOGU CLSID>\<tên tệp trong Base64> và <drive>:\RECYCLER.BIN\<SOGU CLSID>\<tên tệp trong Base64>.
Phần mềm độc hại SOGU cũng có thể thực thi nhiều lệnh khác nhau thông qua máy chủ điều khiển: truyền tệp tin, mở quyền truy cập máy tính từ xa, chụp ảnh màn hình, ghi nhật ký bàn phím… Để tăng phạm vi lây nhiễm, mã độc SOGU tự sao chép vào tất cả các ổ đĩa di động mới được kết nối với máy tính bị nhiễm để từ đó lây lan sang các máy tính thuộc hệ thống khác.
Chiến dịch SNOWYDRIVE cũng sử dụng một Trojan được ngụy trang thành một tệp thực thi hợp pháp (ví dụ: USB Drive.exe). Chuỗi lây nhiễm của SNOWYDRIVE gần giống với chuỗi lây nhiễm của SOGU nhưng các thành phần độc hại được chia thành các nhóm tùy theo nhiệm vụ mà chúng thực hiện.
Các thành phần và chuỗi thực thi của chiến dịch SNOWYDRIVE
Phần mềm độc hại SNOWYDRIVE lây lan thông qua việc tự sao chép vào ổ đĩa USB khi chúng được kết nối với hệ thống bị nhiễm. Phần mềm độc hại này tạo thư mục “<drive_root>\Kaspersky\Usb Drive\3.0” trên ổ đĩa di động và sao chép các tệp được mã hóa có chứa các thành phần độc hại. Một tệp thực thi được trích xuất từ tệp “aweu23jj46jm7dc” và được ghi vào <drive_root>\<volume_name> .exe, chịu trách nhiệm giải nén và thực thi nội dung của các tệp được mã hóa.
Các chuyên gia an ninh mạng của Mandiant xác định các cửa hàng in ấn và dịch vụ khách sạn lưu trú tại địa phương là những điểm nóng tiềm tàng cho sự lây nhiễm. Phần mềm độc hại lây lan qua các thiết bị USB thường được nhắm mục tiêu cụ thể, như các hệ thống điều khiển công nghiệp, các hệ thống thông tin nội bộ, hoạt động offline…. Trước đây nhóm APT FIN7 ''khét tiếng'' và SILENT cũng đã sử dụng phương pháp tấn công lây nhiễm này.
Lưu Giáp
10:00 | 08/07/2020
12:00 | 22/08/2023
14:00 | 01/03/2024
09:00 | 02/04/2024
08:46 | 07/08/2014
15:00 | 03/09/2023
10:00 | 19/06/2019
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024