đứng sau chiến dịch này có tên Naikon APT. Chúng sử dụng các kỹ thuật và quy trình được thay đổi liên tục, đồng thời triển khai các backdoor mới có tên Nebulae và RainyDay để đánh để đánh cắp dữ liệu. Các hành vi của nhóm tin tặc này được thực hiện từ giữa tháng 06/2019 đến tháng 03/2021.
Tại giai đoạn đầu, Naikon APT đã sử dụng backdoor Aria-Body và Nebulae. Bắt đầu từ tháng 9/2020, nhóm này đưa backdoor RainyDay vào bộ công cụ, với mục đích gián điệp mạng và đánh cắp dữ liệu.
Trước đó, Naikon APT (hay còn gọi là Override Panda, Lotus Panda hoặc Hellsing) đã bị phát hiện nhắm mục tiêu vào các tổ chức chính phủ ở khu vực Châu Á - Thái Bình Dương (APAC) để tìm kiếm thông tin tình báo địa chính trị.
Ban đầu, Naikon được cho là đã vượt qua được hệ thống giám sát khi bị phát hiện lần đầu vào năm 2015, thì các bằng chứng xuất hiện vào cuối tháng 5/2020 lại cho thấy chúng đã sử dụng một backdoor mới có tên Aria-Body để lén lút đột nhập vào mạng lưới và lợi dụng cơ sở hạ tầng bị xâm nhập làm máy chủ C&C, nhằm phát động các cuộc tấn công nhắm vào các tổ chức khác.
Các cuộc tấn công mới được Bitdefender phát hiện sử dụng RainyDay làm backdoor chính. Tin tặc sử dụng nó để tiến hành do thám, phát tán mã độc, mở rộng phạm vi lây nhiễm trong mạng và trích xuất thông tin nhạy cảm. Cửa hậu này được thực thi bằng kỹ thuật DLL side-loading, một phương pháp được cho là thành công để nạp các DLL độc hại nhằm đánh cắp luồng thực thi của một chương trình hợp pháp như Outlook Item Finder.
Mã độc cũng được cài cắm một backdoor thứ 2 là Nebulae để thu thập thông tin hệ thống, thực hiện thao tác các tệp tin cũng như tải xuống và tải lên các tệp tùy ý thông qua máy chủ C&C với mục đích sao lưu.
Các công cụ khác được triển khai bởi cửa hậu RainyDay bao gồm: trình thu thập tệp tin, lựa chọn các file đã bị thay đổi gần đây có extension cụ thể và tải chúng lên Dropbox, một trình thu thập thông tin đăng nhập và nhiều tiện ích mạng khác như công cụ quét NetBIOS và proxy.
Ngoài ra, Bitdefender cho biết RainyDay có những điểm tương đồng với backdoor Foundcore, được Kaspersky phát hiện đầu tháng 4/2021 khi cùng sử dụng kỹ thuật DLL side-loading để thực thi. Foundcore được cho là do nhóm tin tặc Cycldek sử dụng trong chiến dịch gián điệp mạng nhắm trực tiếp vào các tổ chức chính phủ và quân đội tại Việt Nam.
M.H
(tổng hợp)
08:00 | 10/05/2021
10:00 | 12/07/2021
08:00 | 05/04/2021
13:00 | 20/09/2023
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
09:00 | 28/02/2024
Đội ngũ chuyên gia an ninh mạng tại Kaspersky liên tục theo dõi sự phức tạp của các mối đe dọa đối với tổ chức tài chính, bao gồm cả ngân hàng và các mối đe dọa có động cơ tài chính như phần mềm tống tiền đang lan rộng đến nhiều ngành công nghiệp khác nhau. Trong bài viết này, các chuyên gia bảo mật Kaspersky sẽ đánh giá lại các dự đoán của họ trong năm 2023 và đưa ra những xu hướng dự kiến sẽ nổi lên trong năm 2024.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
07:00 | 15/01/2024
Công ty bán dẫn toàn cầu Qualcomm của Mỹ tiết lộ một lỗ hổng nghiêm trọng mới cho phép các tác nhân đe dọa thực hiện tấn công từ xa thông qua các cuộc gọi thoại qua mạng LTE.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Microsoft đã phát hiện ra một lỗ hổng nghiêm trọng có tên là Dirty Stream đe dọa các ứng dụng Android phổ biến.
14:00 | 17/05/2024
