Chiến dịch tấn công liên quan tới một nhóm tin tặc TA428 được cho là có mối liên hệ với Trung Quốc. Nhóm này được biết đến với hành vi đánh cắp thông tin và hoạt động gián điệp cũng như tấn công các tổ chức ở châu Á và Đông Âu.
TA428 đã xâm nhập thành công mạng của hàng chục mục tiêu, thậm chí chiếm quyền kiểm soát toàn bộ cơ sở hạ tầng mạng thông qua việc tấn công các hệ thống được sử dụng để quản lý các giải pháp an ninh.
TA428 sử dụng các có chứa thông tin bí mật về các tổ chức được nhắm mục tiêu và mã độc khai thác lỗ hổng CVE-2017-11882 trong Microsoft Office để triển khai phần mềm độc hại PortDoor.
PortDoor cũng được sử dụng trong các cuộc tấn công lừa đảo trực tuyến do các tin tặc Trung Quốc khởi xướng vào tháng 4/2021 để xâm nhập vào hệ thống của một nhà thầu quốc phòng thiết kế tàu ngầm cho Hải quân Nga.
Sau khi xâm nhập thành công mục tiêu, nhiều backdoor có liên quan tới TA428 được triển khai, bao gồm nccTrojan, Logtu, Cotx, DNSep và CotSam. Backdoor cho phép tin tặc thu thập, đánh cắp thông tin hệ thống và các tệp từ các thiết bị bị xâm nhập.
Để triển khai CotSam, tin tặc sử dụng tệp Microsoft Word độc hại với các mã độc tương ứng trên hai phiên bản Microsoft Word 2007 cho hệ thống 32-bit và Microsoft Word 2010 cho hệ thống 64-bit.
Sau khi mở rộng tấn công trong mạng bằng cách rò quét, tìm kiếm, khai thác lỗ hổng và khởi chạy công cụ bẻ khóa mật khẩu Ladon, tin tặc sẽ có đặc quyền miền và thu thập nhiều thông tin bí mật.
Các thông tin này được gửi cho các máy chủ C2 từ các quốc gia khác nhau dưới dạng tệp ZIP được mã hóa và bảo vệ bằng mật khẩu. Các bằng chứng đều cho thấy, tất cả các thông tin bị đánh cắp chuyển đến máy chủ có địa chỉ IP của Trung Quốc.
Thông qua việc phân tích chiến thuật, kỹ thuật và quy trình, phương thức khai thác, các công cụ và máy chủ C2 được sử dụng, và thời gian hoạt động của , các nhà nghiên cứu kết luận TA428 là nhóm đứng đằng sau các cuộc tấn công này.
M.H
13:00 | 08/08/2022
10:00 | 15/02/2023
07:00 | 14/10/2024
13:00 | 02/08/2022
23:00 | 28/09/2023
08:00 | 23/06/2022
15:00 | 30/08/2022
13:00 | 21/08/2024
Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
13:00 | 13/08/2024
Các nhà nghiên cứu bảo mật tại Cleafy Labs (Italy) phát hiện ra một phần mềm độc hại Android mang tên BingoMod nguy hiểm, có thể đánh cắp tiền và xóa sạch dữ liệu của người dùng.
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
