Nhóm này có tên là Scarred Manticore và đã hoạt động ít nhất từ năm 2019, được cho là có mối liên hệ chặt chẽ với tổ chức mới nổi Storm-0861, một trong bốn nhóm tin tặc của Iran có liên quan đến các cuộc tấn công mạng vào Chính phủ Albania năm ngoái. Nạn nhân của chiến dịch này trải dài trên nhiều quốc gia khác nhau như Ả Rập Saudi, Các Tiểu vương quốc Ả Rập Thống nhất (UAE), Jordan, Kuwait, Oman, Iraq và .
Scarred Manticore có một số điểm trùng lặp với OilRig, một nhóm tin tặc Iran gần đây đã tấn công mạng vào chính phủ một quốc gia tại Trung Đông kể từ tháng 2 đến tháng 9/2023 như một phần của chiến dịch kéo dài 8 tháng.
Các chuỗi tấn công do Scarred Manticore thực hiện đã nhắm mục tiêu vào các nhà cung cấp dịch vụ viễn thông ở Trung Đông bằng cách sử dụng backdoor có tên là HTTPSnoop, bao gồm các kỹ thuật mới để giao tiếp với các thiết bị và trình điều khiển nhân HTTP của để lắng nghe các yêu cầu đến đối với các URL HTTP/HTTPS cụ thể và thực thi nội dung đó trên điểm cuối bị lây nhiễm.
Chiến dịch của Scarred Manticore có đặc điểm là sử dụng framework phần mềm độc hại chưa được biết đến trước đây có lên là LIONTAIL được cài đặt trên máy chủ Windows.
Các nhà nghiên cứu Check Point cho biết trong một phân tích vào ngày 31/10: “Scarred Manticore đã theo đuổi các mục tiêu có giá trị cao trong nhiều năm, sử dụng nhiều backdoor trên IIS để tấn công các máy chủ Windows. Chúng bao gồm nhiều webshell và backdoor DDL tùy chỉnh trên trình điều khiển”.
LIONTIAL là một phần mềm độc hại nâng cao, nó là một tập hợp các trình tải shellcode tùy chỉnh và payload shellcode nằm trong bộ nhớ. Một thành phần đáng chú ý của framework này là một phần mềm độc hại tinh vi được viết bằng ngôn ngữ C cho phép kẻ tấn công thực thi các lệnh từ xa thông qua các yêu cầu HTTP.
Chuỗi tấn công đòi hỏi phải xâm nhập công khai vào các máy chủ Windows để khởi động quá trình phân phối phần mềm độc hại và thu thập dữ liệu nhạy cảm một cách có hệ thống từ các máy chủ bị nhiễm.
.png)
Lịch sử hoạt động của Scarred Manticore cho thấy sự phát triển liên tục của kho vũ khí phần mềm độc hại của nhóm này, trong đó có Tunna - một phần mềm độc hại dựa vào các webshell với phiên bản tiếng Việt có tên FOXSHELL, tạo đường hầm cho mọi giao tiếp TCP qua HTTP.
Kể từ giữa năm 2020, Scarred Manticore cũng đã sử dụng một backdoor dựa trên .NET có tên SDD để thiết lập giao tiếp với máy chủ điều khiển từ xa thông qua trình nghe HTTP trên máy bị nhiễm, với mục tiêu cuối cùng là thực thi các lệnh tùy ý, tải lên (upload) và tải xuống tệp (download), cũng như chạy các tập hợp .NET bổ sung.
Các bản cập nhật đối với chiến thuật và công cụ của nhóm tin tặc này là điển hình của chiến dịch APT, thể hiện nguồn lực cũng như kỹ năng đa dạng của chúng. Điều này được minh họa rõ nhất qua việc Scarred Manticore sử dụng trình điều khiển độc hại có tên WINTAPIX đã bị Fortinet phát hiện vào đầu tháng 5/2023.
Check Point cho biết: “Các thành phần framework của LIONTAIL chia sẻ các chuỗi và mã hóa tương tự với các trình điều khiển FOXSHELL, backdoor SDD và WINTAPIX”.
Lê Thị Bích Hằng
21:00 | 16/11/2023
10:00 | 22/11/2023
08:00 | 28/11/2023
12:00 | 12/04/2024
10:00 | 06/12/2023
17:00 | 24/12/2021
10:00 | 25/10/2024
12:00 | 25/10/2023
11:00 | 02/08/2021
16:00 | 19/09/2024
Hệ thống định vị vệ tinh toàn cầu (Global Navigation Satellite System - GNSS) là hệ thống xác định vị trí dựa trên vị trí của các vệ tinh nhân tạo, do Bộ Quốc phòng Hoa Kỳ thiết kế, xây dựng, vận hành và quản lý. Hệ thống GNSS ban đầu được dùng trong mục đích quân sự nhưng sau những năm 1980, Chính phủ Hoa Kỳ cho phép sử dụng GNSS vào mục đích dân sự ở phạm vi toàn cầu. Chính vì việc mở rộng phạm vi sử dụng nên đã dẫn đến các nguy cơ mất an toàn thông tin (ATTT) cho các hệ thống này. Bài báo sau đây sẽ giới thiệu các kỹ thuật tấn công mạng vào các hệ thống định vị toàn cầu.
14:00 | 11/09/2024
Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
14:00 | 05/07/2024
Một phân tích về hệ thống truy cập sinh trắc học lai (hybrid) của nhà sản xuất Trung Quốc ZKTeco đã phát hiện ra 24 lỗ hổng bảo mật có thể bị kẻ tấn công lạm dụng để vượt qua xác thực, đánh cắp dữ liệu sinh trắc học và thậm chí triển khai các backdoor độc hại.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
