Nhóm tin tặc Iron Tiger tấn công chuỗi cung ứng để triển khai phần mềm độc hại

12:00 | 25/08/2022 | HACKER / MALWARE

Theo báo cáo của Trend Micro, nhóm tin tặc có liên quan đến Trung Quốc, Iron Tiger đã sử dụng các máy chủ bị xâm nhập của một ứng dụng trò chuyện để phân phối phần mềm độc hại tới các hệ thống Windows và macOS.

Nhóm tin tặc Iron Tiger tấn công chuỗi cung ứng để triển khai phần mềm độc hại

Được biết đến với các tên gọi như APT27, Bronze Union, Emissary Panda, Lucky Mouse và TG-3390 (Threat Group 3390), Iron Tiger đã hoạt động từ năm 2010, nhắm mục tiêu hàng trăm tổ chức trên toàn thế giới với mục đích .

Là một phần của các cuộc tấn công gần đây, nhóm tin tặc thực hiện tấn công có chủ đích (APT) và lạm dụng các máy chủ bị xâm phạm của ứng dụng nhắn tin MiMi có sẵn trên Windows, macOS, Android và iOS. Để phát tán phần mềm độc hại. Phiên bản máy tính để bàn của ứng dụng được xây dựng bằng cách sử dụng khung đa nền tảng ElectronJS. Iron Tiger đã xâm nhập máy chủ lưu trữ các trình cài đặt hợp pháp của ứng dụng trò chuyện này để tiến hành tấn công . Mã độc sẽ triển khai macOS backdoor "rshell" để thu thập thông tin hệ thống, nhận các lệnh từ máy chủ ra lệnh và kiểm soát (C2) và gửi kết quả tới máy chủ này. Backdoor này có thể mở hoặc đóng một shell, thực hiện các lệnh shell, liệt kê các thư mục, đọc tệp, ghi vào tệp, đóng tệp, chuẩn bị tệp để tải xuống và tải lên hoặc xóa tệp.

Các nhà nghiên cứu đã phát hiện ra nhiều mẫu rshell, trong đó có một số mẫu nhắm mục tiêu đến Linux. Mẫu cũ nhất được tải lên vào tháng 6/2021. Các chuyên gia cũng tìm thấy bằng chứng cho thấy Iron Tiger đã giành quyền truy cập vào máy chủ chứa trình cài đặt MiMi vào khoảng tháng 11/2021, khi tin tặc sửa đổi trình cài đặt Windows. Tuy nhiên, trình cài đặt macOS đã được sửa đổi vào tháng 5/2022.

Cùng với đó, tin tặc đã tận dụng quyền truy cập vào máy chủ MiMi để sửa đổi trình cài đặt một cách nhanh chóng ngay sau khi các nhà phát triển phát hành phiên bản ứng dụng mới.

Mặc dù trình cài đặt MiMi có chứa mã độc không có chữ ký hợp pháp và cần bỏ qua nhiều cảnh báo bảo mật từ hệ thống để cài đặt nhưng người dùng thường bỏ qua nó.

Trình cài đặt chứa dành cho hệ điều hành Windows sẽ tải backdoor HyperBro xuống hệ thống của nạn nhân. Backdoor này có thể thu thập thông tin hệ thống, tải lên hoặc tải xuống tệp, thao tác với tệp, liệt kê nội dung của thư mục, thực thi lệnh shell, chạy ứng dụng, chụp ảnh màn hình, kết thúc tiến trình, chèn mã vào tiến trình và điều khiển các dịch vụ.

Iron Tiger dường như chỉ nhắm vào các nạn nhân ở Đài Loan và Philippines. Trong đó 5 nạn nhân bị cài đặt backdoor HyperBro và 8 nạn nhân bị cài đặt backdoor rshell. Hiện tại, một công ty phát triển game của Đài Loan là nạn nhân của nhóm tin tặc.

M.H

‹ › ×

Tin liên quan

Tin tặc rao bán 100.000 thông tin tài khoản ngân hàng người dùng Việt

16:00 | 10/08/2022

Thu hút sự chú ý của dư luận trong vài ngày gần đây là việc thông tin 100.000 tài khoản ngân hàng người dùng Việt Nam bao gồm số dư tài khoản, họ tên, địa chỉ, số tài khoản, số điện thoại và ngày tháng năm sinh… được rao bán công khai trên Internet. Một lần nữa hồi chuông báo động về bảo mật dữ liệu người dùng lại được vang lên.

Phần mềm quản lý mật khẩu LastPass bị tin tặc tấn công

15:00 | 30/08/2022

Mới đây, ứng dụng quản lý mật khẩu LastPass cho biết một phần mã nguồn và dữ liệu kỹ thuật nội bộ đã bị đánh cắp cách đây 2 tuần sau khi tin tặc đột nhập hệ thống. May mắn, mật khẩu của người dùng không bị tấn công.

Phần mềm độc hại GuLoader sử dụng các kỹ thuật mới để trốn tránh phần mềm bảo mật

10:00 | 04/01/2023

Các nhà nghiên cứu tại công ty an ninh mạng CrowdStrike (Mỹ) đã cho biết, nhiều kỹ thuật mới được “GuLoader” - một trình tải xuống phần mềm độc hại áp dụng để trốn tránh sự phát hiện của các phần mềm bảo mật.

Cách loại bỏ trojan, virus, worm và các phần mềm độc hại

14:00 | 09/12/2022

Phần mềm độc hại đã trở thành khái niệm không còn xa lạ đối với người dùng hiện nay. Tuy nhiên, chúng được phân loại và có cách thức hoạt động khác nhau. Bài viết này hướng dẫn người dùng cách loại bỏ những phần mềm độc hại thuộc dạng virus, trojan, worm.

Chiến dịch tấn công bằng phần mềm độc hại mới nhắm đến người dùng tại Ý

15:00 | 19/01/2023

Mới đây, một chiến dịch tấn công bằng phần mềm độc hại mới được phát hiện nhắm đến người dùng tại Ý. Phần mềm này sử dụng các email lừa đảo được thiết kế để triển khai một trình đánh cắp thông tin trên các hệ thống Windows bị xâm nhập.

Tin tặc Triều Tiên sử dụng tiện ích mở rộng độc hại trên trình duyệt để theo dõi tài khoản email

22:00 | 15/08/2022

Một nhóm tin tặc hoạt động với mục địch tài chính được cho là có liên quan đến Triều Tiên đã triển khai một tiện ích mở rộng độc hại trên các trình duyệt web dựa trên Chromium, có khả năng đánh cắp nội dung email từ Gmail và AOL.

EvilProxy - công cụ tấn công mới cho phép tin tặc vượt qua xác thực đa yếu tố

07:00 | 15/09/2022

Vừa qua, các nhà nghiên cứu tại công ty bảo mật Resecurity đã phát hiện một nền tảng PaaS (Phishing-as-a-Service) được gọi là “EvilProxy” (còn được gọi là Moloch), đang được các tin tặc sử dụng như một công cụ để đánh cắp mã xác thực thông báo nhằm vượt qua các biện pháp bảo vệ xác thực đa yếu tố (MFA) trên các ứng dụng phổ biến như Apple, Google, Facebook,...

Chính phủ Hoa Kỳ yêu cầu đảm bảo an ninh từ các nhà cung cấp phần mềm

09:00 | 13/12/2022

Trung tuần tháng 9, Nhà Trắng thông báo Văn phòng Quản lý và Ngân sách (OMB) đã ban hành hướng dẫn mới với mục đích đảm bảo rằng các cơ quan liên bang chỉ sử dụng phần mềm an toàn. Hướng dẫn có tên “Tăng cường bảo mật của chuỗi cung ứng phần mềm thông qua các thực tiễn phát triển phần mềm an toàn” được xây dựng theo lệnh hành pháp về an ninh mạng do Tổng thống Joe Biden ký vào tháng 5/2021.

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

14:00 | 29/09/2022

Vừa qua, một mã độc tàng hình mới có tên là Shikitega đã được phát hiện thông qua một chuỗi lây nhiễm nhiều giai đoạn với mục tiêu gửi các payload độc hại tới hệ điều hành Linux và các thiết bị IoT. Bài báo này tập trung trình bày về kỹ thuật lây nhiễm của loại mã độc mới trên Linux này.

Tin tặc đánh cắp 22 triệu USD của nhà đầu tư NFT

13:00 | 08/08/2022

TRM Labs cho biết, trong tháng 5/2022 có hơn 100 báo cáo tấn công được gửi đến Chainabuse - nền tảng bảo vệ cộng đồng khỏi các dự án lừa đảo. Vào tháng 6, các cuộc tấn công, đánh cắp tiền của nhà đầu tư thông qua Discord gia tăng 55%. Ước tính số tiền mà tin tặc đánh cắp được của nhà đầu tư NFT lên tới 22 triệu USD.

Tin cùng chuyên mục

Tin tặc khai thác lỗ hổng OpenMetadata để khai thác tiền điện tử trên Kubernetes

14:00 | 25/04/2024

Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.

AnyDesk bị tấn công mạng

11:00 | 07/02/2024

Ngày 02/02, nhà sản xuất phần mềm điều khiển máy tính từ xa AnyDesk (Đức) tiết lộ rằng họ đã phải hứng chịu một cuộc tấn công mạng dẫn đến sự xâm phạm hệ thống sản xuất của công ty.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Phần mềm độc hại NKAbuse: Mối đe dọa mới với công nghệ Blockchain

08:00 | 12/01/2024

Trung tuần tháng 12, các nhà nghiên cứu của hãng bảo mật Kaspersky phát hiện một mối đe dọa đa nền tảng mới có tên là NKAbuse. Phần mềm độc hại này được viết bằng ngôn ngữ Golang, sử dụng công nghệ NKN (New Kind of Network) để trao đổi dữ liệu giữa các thiết bị mạng ngang hàng, được trang bị khả năng tạo backdoor và phát động các cuộc tấn công từ chối dịch vụ phân tán (DDoS), bên cạnh đó NKAbuse cũng có đủ sự linh hoạt để tạo các tệp nhị phân tương thích với nhiều kiến trúc khác nhau.