Các nhà nghiên cứu quy kết cuộc tấn công này được thực hiện bởi nhóm tin tặc Blackwood, nhóm này đã hoạt động ít nhất kể từ năm 2018. Tin tặc đã sử dụng các cuộc tấn công AitM (Adversary in the Middle) để triển khai mã độc NSPX30 thông qua các bản cập nhật phần mềm phổ biến tại Trung Quốc như Sogou Pinyin, Tencent QQ và WPS Office.
Hình 1. Chuỗi lây nhiễm mã độc NSPX30
Mã độc NSPX30 bao gồm backdoor, dropper, trình cài đặt, trình tải và bộ điều phối, đồng thời có thể ẩn vị trí máy chủ điều khiển và ra lệnh (C2) thông qua việc chặn lưu lượng truy cập nhằm lẩn tránh phát hiện. NSPX30 được các tin tặc sử dụng để tấn công tới các mục tiêu cá nhân, tổ chức tại Trung Quốc và Nhật Bản, trong đó có một doanh nghiệp sản xuất và kinh doanh ở Trung Quốc cũng như một công ty sản xuất của Nhật Bản.
Hình 2. Phân bổ vị trí của các nạn nhân
ESET cho biết, mã độc NSPX30 dường như là phiên bản kế thừa của backdoor có tên là Project Wood, đóng vai trò là cơ sở mã cho nhiều phần mềm độc hại khác nhau, bao gồm cả mã độc DCM vào năm 2008 (còn gọi là Dark Spectre), mà NSPX30 có nguồn gốc từ đó.
Báo cáo công khai về Project Wood cho thấy rằng backdoor này đã từng được các tin tặc sử dụng trong một số cuộc tấn công trước đây, bao gồm cả vụ việc nhắm vào một nhân vật chính trị ở Hồng Kông thông qua kỹ thuật tấn công Spearphishing vào năm 2011. Phần mềm độc hại có một trình tải và một backdoor có thể thu thập thông tin chi tiết về hệ thống và mạng, ghi lại các lần thao tác bàn phím và chụp ảnh màn hình.
Tương tự như DCM, NSPX30 dựa vào các cuộc tấn công AitM để phân phối các payload độc hại và có thể vượt qua được một số giải pháp chống phần mềm độc hại của Trung Quốc. Tuy nhiên, mã độc này có cấu hình thành phần khác, với các hoạt động được chia thành hai giai đoạn, trong khi đó mã của DCM được chia thành các thành phần nhỏ hơn.
Theo ESET, Blackwood có khả năng triển khai payload độc hại trên hệ thống mạng của nạn nhân, có thể trên các bộ định tuyến và cổng dễ bị tấn công, sau đó sử dụng nó để chặn lưu lượng HTTP không được mã hóa liên quan đến các bản cập nhật và thay vào đó cung cấp NSPX30 dropper.
Khi được khởi chạy, backdoor sẽ tạo ra một UDP socket lắng nghe thụ động với một cổng do hệ điều hành chỉ định. Cổng tương tự có thể được sử dụng cho cả việc nghe lệnh và lọc dữ liệu, với payload chịu trách nhiệm cho việc chuyển tiếp các gói tin.
Nguyễn Hữu Hưng
(Tổng hợp)
10:00 | 05/10/2023
09:00 | 06/03/2024
17:00 | 11/08/2023
15:00 | 19/02/2024
10:00 | 21/02/2024
10:00 | 07/04/2023
09:00 | 01/04/2024
11:00 | 24/10/2024
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
09:00 | 11/10/2024
Một chuỗi các lỗ hổng bảo mật mới đã được phát hiện trong hệ thống in CUPS (Common Unix Printing System) Linux, có thể cho phép các tin tặc thực hiện chèn lệnh từ xa trong một số điều kiện nhất định.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
