Nguy cơ tấn công từ mã độc đánh cắp dữ liệu thông qua thiết bị USB gia tăng đột biến

10:00 | 02/08/2023 | HACKER / MALWARE

Trong sáu tháng đầu năm 2023, các chuyên gia an ninh mạng của hãng bảo mật Mandiant (Mỹ) đã theo dõi và cảnh báo số vụ tấn công mã độc sử dụng ổ USB là thiết bị trung gian để đánh cắp dữ liệu người dùng tăng gấp ba lần. Các chuyên gia nhận định sự gia tăng này có khả năng đến từ các chiến dịch tấn công với quy mô lớn trên phạm vi toàn cầu và có ảnh hưởng đối với các doanh nghiệp và cơ quan chính phủ.

Qua việc theo dõi, các chuyên gia phát hiện 2 lớn diễn ra gần đây. Thứ nhất là chiến dịch lây lan mã độc SOGU được cho là của nhóm APT TEMP.Hex (hay còn được gọi với các tên như Mustang Panda, HoneyMyte, TA416…). Đây được coi là cuộc tấn công gián điệp mạng điển hình dựa trên USB, với mục tiêu thu thập thông tin tình báo trong các lĩnh vực công nghiệp, xây dựng, y tế, vận tải, năng lượng… tại Châu Âu, Châu Á và Mỹ. Thứ hai là chiến dịch lây lan mã độc SNOWYDRIVE được cho là của nhóm APT UNC4698 với mục tiêu nhắm đến là các công ty, tập đoàn dầu mỏ của Châu Á. Cả hai này đều được xác định là có liên quan đến Trung Quốc.

Nguy cơ tấn công từ mã độc đánh cắp dữ liệu thông qua thiết bị USB gia tăng đột biến

Các khu vực bị lây nhiễm mã độc của nhóm TMP.Hex và các lĩnh vực bị ảnh hưởng.

Mã độc SOGU lây lan nhanh chóng và mạnh mẽ thông qua các và đã được xuất hiện ở nhiều quốc gia theo nhiều lĩnh vực. Thông qua kỹ thuật DLL hijacking mã độc SOGU khi được kích hoạt sẽ tải phần mềm độc hại KORPLUG vào bộ nhớ, đồng thời tạo ra các tệp lây nhiễm tại các vị trí khác nhau:

Vị trí và các tệp độc hại được lưu trữ

Sau đó, phần mềm độc hại tìm kiếm trên ổ C máy tính nạn nhân các tệp có định dạng: *.doc,*.docx , *.ppt , *.pptx , *.xls , *.xlsx và *.pdf và mã hóa một bản sao của mỗi tệp, mã hóa tên tệp gốc bằng Base64 và lưu các tệp được mã hóa vào các thư mục: C:\Users\<user>\AppData\Roaming\Intel\<SOGU CLSID>\<tên tệp trong Base64> và <drive>:\RECYCLER.BIN\<SOGU CLSID>\<tên tệp trong Base64>.

Phần mềm độc hại SOGU cũng có thể thực thi nhiều lệnh khác nhau thông qua máy chủ điều khiển: truyền tệp tin, mở quyền truy cập máy tính từ xa, chụp ảnh màn hình, ghi nhật ký bàn phím… Để tăng phạm vi lây nhiễm, mã độc SOGU tự sao chép vào tất cả các ổ đĩa di động mới được kết nối với máy tính bị nhiễm để từ đó lây lan sang các máy tính thuộc hệ thống khác.

Chiến dịch SNOWYDRIVE cũng sử dụng một Trojan được ngụy trang thành một tệp thực thi hợp pháp (ví dụ: USB Drive.exe). Chuỗi lây nhiễm của SNOWYDRIVE gần giống với chuỗi lây nhiễm của SOGU nhưng các thành phần độc hại được chia thành các nhóm tùy theo nhiệm vụ mà chúng thực hiện.

Các thành phần và chuỗi thực thi của chiến dịch SNOWYDRIVE

Phần mềm độc hại SNOWYDRIVE lây lan thông qua việc tự sao chép vào ổ đĩa USB khi chúng được kết nối với hệ thống bị nhiễm. Phần mềm độc hại này tạo thư mục “<drive_root>\Kaspersky\Usb Drive\3.0” trên ổ đĩa di động và sao chép các tệp được mã hóa có chứa các thành phần độc hại. Một tệp thực thi được trích xuất từ tệp “aweu23jj46jm7dc” và được ghi vào <drive_root>\<volume_name> .exe, chịu trách nhiệm giải nén và thực thi nội dung của các tệp được mã hóa.

Các chuyên gia an ninh mạng của Mandiant xác định các cửa hàng in ấn và dịch vụ khách sạn lưu trú tại địa phương là những điểm nóng tiềm tàng cho sự lây nhiễm. Phần mềm độc hại lây lan qua các thiết bị USB thường được nhắm mục tiêu cụ thể, như các hệ thống điều khiển công nghiệp, các hệ thống thông tin nội bộ, hoạt động offline…. Trước đây nhóm APT FIN7 ''khét tiếng'' và SILENT cũng đã sử dụng phương pháp tấn công lây nhiễm này.

Lưu Giáp

‹ › ×

Tin liên quan

Hướng dẫn tra cứu, thay đổi thông tin thiết bị USB Token

10:00 | 08/07/2020

Dưới đây là hướng dẫn chi tiết các bước thực hiện xem thông tin, đổi tên, đổi mật khẩu thiết bị lưu khóa bí mật USB Token do Ban Cơ yếu Chính phủ cung cấp.

Gia tăng các cuộc tấn công mạng nhắm vào chính phủ và các tổ chức dịch vụ công

12:00 | 22/08/2023

Báo cáo Tình báo mối đe dọa toàn cầu quý II/2023 của Công ty an ninh mạng BlackBerry mới được công bố cho thấy các cuộc tấn công mạng nhằm vào chính phủ và các tổ chức dịch vụ công đã tăng 40% so với quý I.

Kỹ thuật giấu tin trong ảnh

14:00 | 01/03/2024

Giấu tin (steganography) là một kỹ thuật nhúng thông tin vào một nguồn đa phương tiện nào đó, ví dụ như tệp âm thanh, tệp hình ảnh,... Việc này giúp thông tin được giấu trở nên khó phát hiện và gây ra nhiều thách thức trong lĩnh vực bảo mật và an toàn thông tin, đặc biệt là quá trình điều tra số. Thời gian gần đây, số lượng các cuộc tấn công mạng có sử dụng kỹ thuật giấu tin đang tăng lên, tin tặc lợi dụng việc giấu các câu lệnh vào trong bức ảnh và khi xâm nhập được vào máy tính nạn nhân, các câu lệnh chứa mã độc sẽ được trích xuất từ ảnh và thực thi. Nhằm mục đích cung cấp cái nhìn tổng quan về phương thức ẩn giấu mã độc nguy hiểm, bài báo sẽ giới thiệu về kỹ thuật giấu tin trong ảnh và phân tích một cuộc tấn công cụ thể để làm rõ về kỹ thuật này.

Những chiếc USB kém chất lượng được bán ra thị trường

09:00 | 02/04/2024

Một chuyên gia khôi phục dữ liệu người Đức đã xác nhận: Thẻ nhớ USB đang ngày càng kém tin cậy hơn. Nguyên nhân được cho là do chip bộ nhớ kém hơn, trong khi việc chuyển sang lưu trữ nhiều bit trên mỗi ô flash ảnh hưởng đến chất lượng của thẻ nhớ.

Lỗ hổng nghiêm trọng trên thiết bị USB

08:46 | 07/08/2014

Các chuyên gia bảo mật của Security Research Labs (SR Labs - Đức) vừa cảnh báo một lỗ hổng bảo mật nghiêm trọng được phát hiện trên các chíp điều khiển của các thiết bị USB phổ biến hiện nay. Chúng nguy hiểm đến mức "ngay cả USB mà bạn tin tưởng 100% cũng chưa chắc an toàn", các chuyên gia nhấn mạnh.

Mã hóa ổ đĩa với Veracrypt để bảo vệ dữ liệu quan trọng

15:00 | 03/09/2023

Để bảo vệ thông tin dữ liệu được an toàn và tránh bị truy cập trái phép, mã hóa là một trong những cách thức hiệu quả nhất đảm bảo dữ liệu không thể đọc/ghi được, ngay cả trong trường hợp bị xâm phạm. Trong số 1 (065) 2022 của Tạp chí An toàn thông tin đã hướng dẫn về cách mã hóa ổ đĩa cứng sử dụng Bitlocker. Tuy nhiên, với người dùng phiên bản Windows 10 Home thì giải pháp này lại không được hỗ trợ. Bài viết sau sẽ giới thiệu đến độc giả VeraCrypt, một công cụ mã hóa miễn phí đa nền tảng với khả năng hỗ trợ nhiều thuật toán mật mã và hàm băm, cho phép người dùng mã hóa các tệp tin, phân vùng hệ thống và tạo ổ đĩa ảo mã hóa với tùy chọn phù hợp.

Hướng dẫn cài đặt trình điều khiển thiết bị USB Token của Ban Cơ yếu Chính phủ

10:00 | 19/06/2019

Bài viết dưới đây trình bày hướng dẫn để cài đặt trình điều khiển thiết bị USB Token do Ban Cơ yếu Chính phủ cung cấp.

Tin cùng chuyên mục

Phần mềm độc hại TrickMo đánh cắp mã PIN Android bằng màn hình khóa giả mạo

10:00 | 18/10/2024

Công ty bảo mật Zimperium (Mỹ) đã xác định được 40 biến thể mới của trojan ngân hàng TrickMo trên Android. Các biến thể này được liên kết với 16 chương trình dropper (một loại trojan horse để cài đặt phần mềm độc hại) và 22 cơ sở hạ tầng của máy chủ điều khiển và ra lệnh (C2) riêng biệt, với các tính năng mới để đánh cắp mã PIN Android.

Hàng triệu xe ô tô Kia có thể bị tin tặc kiểm soát bằng cách quét biển số xe

13:00 | 07/10/2024

Các nhà nghiên cứu cho biết một lỗ hổng bảo mật khiến hàng triệu chiếc xe Kia sản xuất từ năm 2023 có thể bị chiếm quyền điều khiển, cho phép kẻ tấn công kiểm soát từ xa.

Hàn Quốc điều tra vai trò của Telegram trong việc lan truyền nội dung deepfake

07:00 | 16/09/2024

Trước những cáo buộc liên quan đến việc hỗ trợ tội phạm tình dục bằng công nghệ deepfake, ứng dụng nhắn tin Telegram đang bị nhà chức trách Hàn Quốc tiến hành điều tra sơ bộ để làm rõ trách nhiệm.

Nguy cơ mất sạch tiền từ phần mềm độc hại NGate trên Android

10:00 | 30/08/2024

Các chuyên gia bảo mật của hãng ESET (Slovakia) vừa phát hiện một phần mềm độc hại mới trên nền tảng Android có khả năng sử dụng đầu đọc NFC để đánh cắp thông tin thanh toán từ thiết bị của nạn nhân và chuyển dữ liệu này đến tay kẻ tấn công.