Các chuyên gia Cybereason Nocturnus đã phát hiện ra các mẫu mã độc thuộc bộ công cụ RoyalRoad mới hiện đang được sử dụng trong các cuộc tấn công mạng. Một trong những mẫu mã độc mới này đã làm cho các chuyên gia của Cybereason Nocturnus đặc biệt chú ý, nó sử dụng cửa hậu PortDoor (một loại cửa hậu mới, chưa từng xuất hiện trước đây) ở máy nạn nhân.
Sau khi phân tích và đánh giá mẫu phần mềm độc hại chi tiết hơn, các chuyên gia Cybereason Nocturnus kết luận rằng, việc khai thác và sử dụng bộ công cụ RoyalRoad (8.t Dropper/RTF) với mẫu mới PortDoor đang được các nhóm APT sử dụng theo lợi ích của chính phủ Trung Quốc.
Một trong những mục tiêu được các nhóm APT nhắm đến đó là Trung tâm Thiết kế về Kỹ thuật Hàng hải mang tên Rubin. Đây là một trong những doanh nghiệp lớn của Nga tham gia thiết kế tàu ngầm. Kể từ năm 1938, Trung tâm Thiết kế về Kỹ thuật Hàng hải Rubin đã phối hợp chặt chẽ với lực lượng hải quân Nga. Do vậy, Trung tâm trở thành mục tiêu quan trọng đối với tội phạm mạng liên quan đến chính phủ của các nước.
Trong giai đoạn đầu của cuộc tấn công, các nhóm APT của Trung Quốc sử dụng kỹ thuật Spear Phishing, qua hình thức gửi thư điện tử có chứa mã độc đến ông Igor Vladimirovich Vilnit - Tổng giám đốc của Trung tâm Thiết kế về Kỹ thuật Hàng hải Rubin
.png)
Nội dung thư điện tử sử dụng kỹ thuật Spear Phishing
Mã độc nằm trong tệp đính kèm với định dạng RTF, được xây dựng theo bộ công cụ RoyalRoad. Sau khi người dùng tải xuống và mở tệp RTF, một tài liệu Microsoft Word được tạo ra và mở trên máy tính của nạn nhân, khiến cho người dùng không phát hiện rằng mình đang mở và kích hoạt một tệp có chứa phần mềm độc hại.
.png)
Nội dung một tệp tin dưới định dạng word
Sau đó, một cửa hậu chưa được biết đến trước đây có tên là winlog.wll được tạo và hoạt động trên máy tính của nạn nhân, cửa hậu này có những tính năng chính sau:
Trong nhiều năm, Royal Road là công cụ được một số nhóm APT Trung Quốc sử dụng thường xuyên (Goblin Panda, Rancor Group, TA428, Tick và Tonto Team). Các nhóm APT này đã sử dụng nó trong các cuộc tấn công lừa đảo có chủ đích từ cuối năm 2018, thông qua việc khai thác các lỗ hổng trong Microsoft Equation Editor (CVE-2017-11882, CVE-2018-0798, CVE-2018-0802) và sử dụng các tài liệu RTF độc hại để phát tán các mềm độc hại xâm nhập vào hệ thống của nạn nhân mà không bị phát hiện.
Nam Trần (theo Anti-malware)
09:00 | 20/08/2020
10:00 | 12/07/2021
14:00 | 24/03/2021
11:00 | 02/08/2021
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
07:00 | 27/09/2024
Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.
16:00 | 24/07/2024
Vào tháng 3/2024, các nhà nghiên cứu của công ty an ninh mạng Zscaler (Mỹ) đã quan sát thấy hoạt động xâm nhập mới từ nhóm tin tặc được Chính phủ Triều Tiên hậu thuẫn có tên là Kimsuky (hay còn gọi là APT43, Emerald Sleet và Velvet Chollima). Đặc biệt, Zscaler phát hiện một chiến dịch tấn công bởi các tin tặc Kimsuky sử dụng tiện ích mở rộng mới trên Google Chrome có tên gọi Translatext.
14:00 | 10/07/2024
Juniper Networks đã phát hành bản cập nhật bảo mật mới để giải quyết một lỗ hổng bảo mật nghiêm trọng có thể dẫn đến việc bỏ qua xác thực trong một số bộ định tuyến của hãng.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
