Nhóm tin tặc này được các nhà nghiên cứu Symantec đặt tên là Sowbug. Nhóm tin tặc đã bí mật tấn công các tổ chức chính sách ngoại giao, cơ quan chính phủ và các cơ sở ngoại giao ở nhiều nước, trong đó có Argentina, Brazil, Ecuador, Peru và Malaysia.
Symantec phát hiện nhóm Sowbug dùng mã độc có tên là Felismus để tấn công và xâm nhập các tổ chức. Được tìm ra lần đầu vào cuối tháng 3/2017, Felismus là một loại Trojan cho phép truy cập từ xa (RAT) tinh vi, có cấu trúc môđun hoá, nên có thể ẩn náu và mở rộng các tính năng.
Mã độc này cho phép kẻ xấu chiếm quyền kiểm soát toàn bộ hệ thống bị lây nhiễm và cũng giống như các loại RAT khác, nó cho phép kẻ xấu liên lạc với máy chủ ở xa, tải xuống và thực thi các lệnh.
Khi phân tích Felismus, các nhà nghiên cứu biết được dấu tích các chiến dịch tấn công trước đó với nhóm Sowbug, điều đó cho thấy, nhóm này đã hoạt động từ khoảng đầu năm 2015 và thậm chí là trước đó.
Báo cáo của Symantec cho biết, Sowbug dường như tập trung vào các cơ quan chính phủ ở Nam Mỹ và Đông Nam Á. Nhóm này có nguồn lực tốt, có khả năng xâm nhập đồng thời nhiều mục tiêu và thường hoạt động ngoài giờ làm việc của các mục tiêu.
Tuy vẫn chưa rõ nhóm Sowbug đã làm thế nào để xâm nhập mạng máy tính của các tổ chức, nhưng qua các bằng chứng thu thập được, các nhà nghiên cứu suy đoán rằng, tin tặc đã sử dụng các bản vá giả của Windows hay Adobe Reader. Các nhà nghiên cứu cũng phát hiện nhóm tin tặc này sử dụng công cụ có tên là Starloader để triển khai mã độc và các công cụ bổ sung như phần mềm thu thập thông tin đăng nhập và keylogger tới mạng của các nạn nhân.
Các nhà nghiên cứu đã tìm thấy bằng chứng các tệp Starloader được phát tán như bản cập nhật phần mềm với những cái tên như AdobeUpdate.exe, AcrobatUpdate.exe, INTELUPDATE.EXE,… Thay vì lây nhiễm vào các phần mềm, Sowbug đặt tên các công cụ của nhóm gần giống với các phần mềm hợp pháp và đặt các công cụ đó vào các thư mục có tên tương tự để đánh lừa người dùng. Mẹo này giúp tin tặc che giấu mã độc và khiến người dùng không nghi ngờ gì.
Nhóm Sowbug đã áp dụng nhiều biện pháp để tránh bị phát hiện như thực hiện các hoạt động gián điệp ngoài giờ hành chính. Trong một trường hợp, nhóm tin tặc đã ẩn mình và không bị phát hiện trong mạng của nạn nhân tới 6 tháng (từ tháng 9/2016 tới tháng 3/2017).
Ngoài thông tin về việc phân phối mã độc Felismus, danh tính của những tin tặc trong nhóm Sowbug vẫn chưa được tìm ra.
(theo The Hacker News)
08:00 | 19/10/2017
09:00 | 25/02/2022
08:08 | 13/07/2017
15:46 | 22/02/2016
13:00 | 21/08/2024
Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.
16:00 | 26/07/2024
Nhóm APT có tên là CloudSorcerer đã được phát hiện đang nhắm mục tiêu vào chính phủ Nga bằng cách tận dụng các dịch vụ đám mây để giám sát và kiểm soát (command-and-control, C2) và lọc dữ liệu.
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
10:00 | 08/05/2024
Mới đây, một lỗ hổng nghiêm trọng định danh CVE-2024-31497 được phát hiện trong PuTTY - ứng dụng client SSH phổ biến dành cho Windows làm rò rỉ khóa riêng.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu bảo mật tại Cisco Talos vừa phát hiện ra một số lỗ hổng Microsoft Office, cho phép tin tặc theo dõi người dùng thông qua camera và micro.
10:00 | 23/08/2024
