VNC là một công nghệ kỹ thuật dùng để chia sẻ giao diện màn hình từ xa. VNC sẽ giúp người dùng hiển thị được màn hình của máy tính hoặc hệ thống ở xa ngay trên máy tính của người dùng và có thể điều khiển thao tác qua kết nối mạng. Trong khi đó, là nhóm tin tặc từ có liên quan đến hoạt động gián điệp mạng và đánh cắp thông tin tài chính.
Kaspersky cho biết trong báo cáo xu hướng APT quý 3/2023: “Các tin tặc đánh lừa những người tìm việc trên mạng xã hội mở các ứng dụng độc hại để thực hiện các cuộc phỏng vấn việc làm giả mạo. Để tránh bị phát hiện bởi các giải pháp bảo mật dựa trên hành vi, ứng dụng này hoạt động một cách kín đáo, chỉ kích hoạt khi người dùng chọn máy chủ từ menu thả xuống của máy khách VNC bị nhiễm ”.
Sau khi nạn nhân khởi chạy ứng dụng giả mạo, nó sẽ truy xuất các payload bổ sung, bao gồm phần mềm độc hại đã biết của Lazarus có tên là LPEClient được trang bị khả năng lập hồ sơ các máy chủ bị xâm nhập.
LPEClient là trình tải xuống HTTP(S) có hai tham số dòng lệnh: một chuỗi được mã hóa chứa hai URL (máy chủ C2 chính và phụ) và đường dẫn trên hệ thống tệp của nạn nhân để lưu trữ payload đã tải xuống. Nó gửi thông tin chi tiết về môi trường của nạn nhân, như tên máy tính, chủng loại, nhà sản xuất, phiên bản Windows, kiến trúc, thông tin bộ nhớ, phần mềm bảo mật đã cài đặt,…
Các nhà nghiên cứu của Kaspersky cũng cho biết, phiên bản cập nhật của phần mềm độc hại Copperhedge cũng được các tin tặc sử dụng, đây là một backdoor nổi tiếng với chức năng chạy các lệnh tùy ý, thực hiện trinh sát hệ thống và lọc dữ liệu. Nó cũng là một phần mềm độc hại được thiết kế riêng để truyền các tệp từ máy nạn nhân đến máy chủ từ xa.
Mục tiêu của chiến dịch mới nhất bao gồm các doanh nghiệp liên quan trực tiếp đến sản xuất quốc phòng, bao gồm hệ thống radar, máy bay không người lái (UAV), các phương tiện quân sự, tàu, vũ khí và các công ty hàng hải.
Dream Job là chiến dịch mà các cuộc tấn công do nhóm tin tặc Triều Tiên thực hiện, trong đó các mục tiêu tiềm năng được liên hệ qua các tài khoản giả mạo thông qua nhiều nền tảng khác nhau như Linkedln, Telegram và Whatsapp với lý do cung cấp các cơ hội việc làm béo bở để lừa họ cài đặt phần mềm độc hại.
Cuối tháng trước, hãng bảo mật ESET đã tiết lộ chi tiết về cuộc tấn công của nhóm Lazarus nhắm vào một công ty hàng không vũ trụ ở Tây Ban Nha, trong đó các nhân viên của công ty đã bị kẻ tấn công giả dạng là nhà tuyển dụng cho Meta trên Linkedln tiếp cận và lừa mở một tệp thực thi độc hại.
Theo Kaspersky: “Lazarus và các nhóm tin tặc khác có nguồn gốc từ Triều Tiên đã phát triển mạnh mẽ trong những tháng gần đây, tổ chức các cuộc tấn công trải rộng trên các lĩnh vực sản xuất và bất động sản ở Ấn Độ, các công ty viễn thông ở Pakistan và Bulgaria, cũng như các nhà thầu chính phủ, nghiên cứu và quốc phòng ở châu Âu, Nhật Bản và Mỹ.”
Lê Thị Bích Hằng
16:00 | 03/08/2023
08:00 | 04/12/2023
10:00 | 07/11/2023
17:00 | 08/11/2023
14:00 | 14/12/2022
07:00 | 16/01/2024
22:00 | 15/08/2022
08:00 | 26/09/2024
Theo dữ liệu mới từ Kaspersky, tình hình an ninh mạng Việt Nam đã có những dấu hiệu tích cực trong quý II/2024 so với cùng kỳ năm trước. Tuy nhiên, trước sự gia tăng và phức tạp của các loại hình tấn công mạng, việc duy trì cảnh giác cao độ và đầu tư vào các giải pháp bảo mật vẫn là nhiệm vụ cần được ưu tiên hàng đầu.
14:00 | 09/09/2024
Những kẻ tấn công chưa rõ danh tính đã triển khai một backdoor mới có tên Msupedge trên hệ thống Windows của một trường đại học ở Đài Loan, bằng cách khai thác lỗ hổng thực thi mã từ xa PHP (có mã định danh là CVE-2024-4577).
10:00 | 16/08/2024
Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.
14:00 | 29/07/2024
Công ty cung cấp dịch vụ Communication APIs Twilio (Mỹ) đã xác nhận rằng một API không bảo mật đã cho phép các tác nhân đe dọa xác minh số điện thoại của hàng triệu người dùng xác thực đa yếu tố Authy, khiến họ có khả năng bị tấn công lừa đảo qua tin nhắn SMS và tấn công hoán đổi SIM.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
