Trong một báo cáo ngày 07/11/2023 của Đơn vị 42 cho biết, các hoạt động của các nhóm tin tặc Trung Quốc được cho là một phần của chiến dịch gián điệp dài hạn. Các hoạt động được quan sát phù hợp với các mục tiêu địa chính trị của chính phủ Trung Quốc khi nước này đang tận dụng mối quan hệ bền chặt với Campuchia để phô trương sức mạnh và mở rộng hoạt động hải quân trong khu vực.
Các tổ chức bị nhóm tin tặc nhắm mục tiêu bao gồm: quốc phòng, giám sát bầu cử, nhân quyền, kho bạc, tài chính quốc gia, thương mại, chính trị, tài nguyên thiên nhiên và viễn thông. Tất cả những mục tiêu này đều chứa một lượng lớn dữ liệu nhạy cảm như: dữ liệu tài chính, thông tin nhận dạng cá nhân, thông tin mật của chính phủ.
Các nhà nghiên cứu tin rằng cơ sở hạ tầng của tin tặc đang chạy honeypot Cowrie trên cổng 2222 và chúng có thể đang sử dụng honeypot này làm vỏ bọc để đánh lừa những người bảo vệ mạng và các nhà nghiên cứu đang điều tra hoạt động bất thường. Cụ thể, Đơn vị 42 quan sát thấy việc lọc IP trên cơ sở hạ tầng này và chặn các kết nối sau:
Các nhóm tin tặc này đang thực hiện lọc các kết nối đến cơ sở hạ tầng độc hại để giảm thiểu nguy cơ máy chủ điều khiển và kiểm soát (C2) bị máy quét IP phát hiện hoặc bị các nhà nghiên cứu an ninh mạng xác định. Đơn vị 42 cũng quan sát thấy các cổng C2 mở trong thời gian hoạt động của tác nhân đe dọa và đóng vào mọi thời điểm khác. Một số tên miền của máy chủ C2 được phát hiện cụ thể:
Mối liên hệ của nhóm tin tắc với chính phủ Trung Quốc được các nhà nghiên cứu quan sát thông qua thời gian hoạt động vào giờ làm việc bình thường của Trung Quốc và có dấu hiệu giảm vào cuối tháng 9 và đầu tháng 10/2023 - trùng với kỳ nghỉ lễ quốc khánh của nước này trước khi tiếp tục tăng trở lại sau ngày 9/10/2023.
Mô hình hoạt động tấn công của tin tặc và độ chênh lệch vào ngày quốc khánh của Trung Quốc
Các nhóm tin tặc có liên kết với Trung Quốc như: Emissary Panda, Gelsemium, Granite Typhoon, Mustang Panda, RedHotel, ToddyCat và UNC4191 đã phát động một loạt chiến dịch gián điệp nhắm vào các khu vực công và tư nhân trên khắp châu Á trong những tháng gần đây. Tháng trước, Elastic Security Labs đã trình bày chi tiết về một bộ xâm nhập có tên mã REF5961 được phát hiện lợi dụng các backdoor tùy chỉnh như EAGERBEE, RUDEBIRD, DOWNTOWN và BLOODALCHEMY trong các cuộc tấn công nhắm vào các quốc gia trong ASEAN.
Kể từ đầu năm 2021, các nhóm tin tặc do nhà nước Trung Quốc bảo trợ đã bị cáo buộc khai thác 23 lỗ hổng zero-day, bao gồm các lỗ hổng được xác định trong Microsoft Exchange Server, Solarwinds Serv-U, Sophos Tường lửa, Fortinet FortiOS, Barracuda Email Security Gateway và Atlassian. Các hoạt động mạng do nhà nước Trung Quốc bảo trợ đã phát triển từ hành vi trộm cắp tài sản trí tuệ trên diện rộng sang cách tiếp cận có mục tiêu hơn nhằm hỗ trợ các mục tiêu chiến lược, kinh tế và địa chính trị cụ thể.
TÀI LIỆU THAM KHẢO
//thehackernews.com/2023/11/chinese-hackers-launch-covert-espionage.html |
Quốc Trường
08:00 | 04/12/2023
10:00 | 07/11/2023
14:00 | 08/11/2023
17:00 | 08/11/2023
08:00 | 04/12/2023
Microsoft cho biết tin tặc Triều Tiên đã xâm nhập vào một công ty phần mềm Đài Loan và lợi dụng hệ thống của công ty này để phát tán phần mềm độc hại đến các thiết bị ở Mỹ, Canada, Nhật Bản và Đài Loan trong một cuộc tấn công vào chuỗi cung ứng.
14:00 | 29/11/2023
Ngày 28/11, DP World Australia - một trong những nhà điều hành cảng biển lớn nhất của Australia cho biết, tin tặc đã xâm nhập nhiều tập tin chứa thông tin cá nhân chi tiết của các nhân viên.
07:00 | 03/11/2023
Hiện nay, ngày càng có nhiều nhà phát triển phần mềm độc hại sử dụng kết hợp đa ngôn ngữ lập trình để vượt qua các hệ thống bảo mật phát hiện nâng cao. Trong đó, phần mềm độc hại Node.js Lu0Bot là minh chứng nổi bật cho xu hướng này. Bằng cách nhắm mục tiêu vào môi trường runtime - thường được sử dụng trong các ứng dụng web hiện đại và sử dụng tính năng che giấu nhiều lớp, Lu0Bot là mối đe dọa nghiêm trọng đối với các tổ chức và cá nhân. Trong phần I của bài viết sẽ khám phá kiến trúc của phần mềm độc hại này.
09:00 | 14/09/2023
Trong tháng 8, Microsoft, Adobe và Apple đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
Một lỗi bảo mật Bluetooth nghiêm trọng được cho là đã tồn tại trong vài năm gần đây có thể bị tin tặc khai thác để chiếm quyền kiểm soát trên các thiết bị Android, Linux, macOS và iOS.
14:00 | 19/12/2023