Các chuyên gia cho rằng, nhóm tin tặc IndigoZebra phải chịu trách nhiệm cho các cuộc tấn công mạng này. Theo ghi nhận của Kaspersky, các cuộc tấn công mạng này đã từng nhắm mục tiêu vào các nước Cộng hòa thuộc Liên Xô cũ.
Các mẫu được gửi từ Văn phòng Tổng thống với yêu cầu xem xét khẩn cấp các sửa đổi đối với tài liệu liên quan đến cuộc họp báo sắp tới. Những email này được gửi từ hộp thư email bị xâm nhập của những nạn nhân nổi tiếng trong quá khứ, bao gồm một kho lưu trữ .RAR được bảo vệ bằng mật khẩu có tên NSC Press conference.rar. Nếu nạn nhân mở tệp, họ sẽ nhận được tệp thực thi Windows (NSC Press conference.exe), tệp này sẽ âm thầm triển khai phần mềm độc hại và backdoor "xCaon", duy trì xâm nhập bằng cách đặt khóa đăng ký.
Email lừa đảo giả danh Văn phòng Tổng thống Afghanisan
có thể được tải xuống và tải lên các tệp, chạy các lệnh thông qua máy chủ điều khiển và kiểm soát (C2) và đánh cắp dữ liệu.
Dropbox đang bị lạm dụng như một dạng máy chủ C2 trong phiên bản mới nhất của backdoor này, được gọi là "BoxCaon".
Các nạn nhân sẽ được gán một thư mục đã được cấu hình sẵn, được đặt tên theo địa chỉ MAC của nạn nhân, chứa các hướng dẫn về phần mềm độc hại và hoạt động như một kho lưu trữ các dữ liệu bị lọc.
Các chuyên gia Check Point cho biết: "Tin tặc đã sử dụng API Dropbox để che giấu các hoạt động độc hại của chúng vì không thấy có các thông tin liên lạc bất thường nào đến các trang web".
IndigoZebra sẽ triển khai công cụ quét NetBIOS đã từng được nhóm tin tặc khác của Trung Quốc (APT10/Stone Panda) áp dụng và có thể thực thi các công cụ tiện ích mạng để tìm kiếm các mục tiêu mới.
Phần mềm độc hại được nhóm tin tặc sử dụng bao gồm Meterpreter, Poison Ivy, xDown và backdoor xCaon.
Các chuyên gia cho rằng nhóm tin tặc IndigoZebra có khả năng phải chịu trách nhiệm cho các cuộc tấn công từ năm 2014 nhắm mục tiêu vào Kyrgyzstan và Uzbekistan.
Các nhà nghiên cứu nhận xét rằng: "Mặc dù ban đầu chúng tôi quan sát thấy IndigoZebra nhắm mục tiêu tấn công vào Uzbekistan và Kyrgyzstan, nhưng giờ đây, đã có nhiều minh chứng cho thấy chiến dịch tấn công của nó đã mở rộng sang các mục tiêu mới trong khu vực, với một bộ công cụ mới".
Trần Thanh Tùng
13:00 | 28/05/2021
11:00 | 02/08/2021
10:00 | 16/05/2021
16:00 | 19/07/2021
07:00 | 24/05/2021
14:00 | 14/12/2021
13:00 | 27/04/2022
10:00 | 25/10/2024
Các cơ quan chính phủ tại Mỹ, Úc và Canada đưa ra cảnh báo các tác nhân đe dọa được nhà nước Iran bảo trợ sử dụng kỹ thuật tấn công Brute Force và nhiều phương thức khác để triển khai các chiến dịch tấn công mạng nhắm vào các tổ chức cơ sở hạ tầng quan trọng.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
16:00 | 06/08/2024
Nhóm tin tặc Stargazer Goblin thực hiện phân phối dưới dạng dịch vụ (DaaS) phần mềm độc hại từ hơn 3.000 tài khoản giả mạo trên GitHub.
13:00 | 06/08/2024
Các nhà nghiên cứu đã phát hiện ra một lỗ hổng nghiêm trọng mới trong Hệ thống phân giải tên miền (DNS) cho phép thực hiện một cuộc tấn công có tên là TuDoor. Cuộc tấn công này có thể được sử dụng nhằm vào bộ đệm DNS, khởi tạo các điều kiện để tấn công từ chối dịch vụ (DoS) và làm cạn kiệt tài nguyên, điều đó khiến nó trở thành mối đe dọa mới.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
