Tổ chức giấu tên này đã bị nhắm mục tiêu từ giữa tháng 7/2023 để cung cấp nhiều loại backdoor và công cụ sau khi xâm phạm như ShadowPad và . Tổ chức này được cho là do một nhóm tin tặc khét tiếng theo dõi với tên gọi APT41 thực hiện.
Các nhà nghiên cứu bảo mật cho rằng, phần mềm độc hại ShadowPad được sử dụng trong chiến dịch này đã khai thác phiên bản lỗi thời dễ bị tấn công của tệp nhị phân Microsoft Office IME làm trình tải trong giai đoạn thứ hai tùy chỉnh và khởi chạy tải trọng. Nhóm tin tặc đã xâm phạm ba máy chủ trong môi trường mục tiêu và có thể đánh cắp một số tài liệu từ mạng.
Cisco Talos cho biết họ đã phát hiện ra hoạt động này vào tháng 8/2023 sau khi phát hiện ra lệnh PowerShell bất thường kết nối với một để tải xuống và thực thi các tập lệnh PowerShell trong môi trường bị xâm phạm.
Không rõ vectơ truy cập ban đầu chính xác được sử dụng trong cuộc tấn công, mặc dù nó liên quan đến việc sử dụng một web shell để duy trì quyền truy cập liên tục và thả các tải trọng bổ sung như ShadowPad và Cobalt Strike, trong đó tải trọng sau được phân phối bằng trình tải Cobalt Strike dựa trên Go có tên là CS-Avoid-Killing.
Ngoài ra, nhóm tin tặc đang chạy các lệnh PowerShell để khởi chạy các tập lệnh chạy ShadowPad trong bộ nhớ và lấy Cobalt Strike từ máy chủ chỉ huy và kiểm soát (C2) bị xâm phạm. Trình tải ShadowPad dựa trên DLL, còn được gọi là ScatterBee, được thực thi thông qua tải phụ DLL.
Một số hoạt động khác của cuộc tấn công bao gồm sử dụng Mimikatz để trích xuất mật khẩu và thực thi một số lệnh để thu thập thông tin về tài khoản người dùng, cấu trúc thư mục và cấu hình mạng.
Trước đó, Chính phủ Đức cho rằng, các tác nhân nhà nước Trung Quốc cũng đứng sau một cuộc tấn công mạng năm 2021 vào cơ quan lập bản đồ quốc gia là Cục Bản đồ và Đo đạc Liên bang (BKG) vì mục đích gián điệp.
Đáp lại các cáo buộc, đại sứ quán Trung Quốc tại Berlin cho biết cáo buộc này là vô căn cứ và kêu gọi Đức "chấm dứt hành vi sử dụng các vấn đề an ninh mạng để bôi nhọ Trung Quốc về mặt chính trị và trên phương tiện truyền thông".
Bá Phúc
14:00 | 30/07/2024
14:00 | 29/07/2024
16:00 | 26/07/2024
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
09:00 | 11/10/2024
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
08:00 | 12/07/2024
Mới đây, công ty bảo mật Symantec đã đưa ra cảnh báo về một cuộc tấn công mới, lừa người dùng đến các trang web giả mạo và yêu cầu cung cấp thông tin Apple ID. Những thông tin xác thực này cho phép tin tặc kiểm soát các thiết bị, truy cập thông tin cá nhân và tài chính.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
