Thực hiện theo dõi từ tháng 6/2020 đến tháng 1/2021, Kaspersky phát hiện 80% tổ chức bị nhắm mục tiêu có trụ sở đặt tại Việt Nam, hoạt động thuộc chính phủ, quân đội hoặc có liên quan đến y tế, ngoại giao và giáo dục.
Trong lịch sử, nhóm tin tặc Cycldek thường nhắm đến các mục tiêu thuộc chính phủ tại các nước Đông Nam Á. Phần mềm độc hại được sử dụng trong chiến dịch tấn công lần này có tên FoundCore, cho phép tin tặc toàn quyền kiểm soát các máy tính bị xâm nhập và thực hiện các thao tác hệ thống tệp dữ liệu, chụp ảnh màn hình hay thực thi các lệnh tùy ý.
Theo phân tích của Kaspersky, nhóm tin tặc Cycldek đã thực hiện một chuỗi lây nhiễm sử dụng tính năng chuyền tải thư viện liên kết động (DLL side-loading) và chạy một shellcode hoạt động như một bộ tải cho FoundCore để phân phối mã độc hại. Điều này cho phép tin tặc qua mặt các sản phẩm bảo mật và triển khai RAT để cung cấp cho chúng toàn quyền kiểm soát các máy tính. Sau khi triển khai RAT, FoundCore tiếp tục thực hiện quy trình:
Bước 1: FoundCore thiết lập tính bền bỉ bằng cách tạo ra một dịch vụ.
Bước 2: FoundCore sử dụng các thông tin không rõ ràng cho dịch vụ bằng cách thay đổi các trường Description, ImagePath và DisplayName.
Bước 3: FoundCore đặt danh sách kiểm soát truy cập tùy ý (DACL) trống cho hình ảnh được liên kết với quy trình hiện tại để ngăn truy cập vào tệp độc hại cơ bản. DACL là một danh sách nội bộ được đính kèm với một đối tượng trong Active Directory để chỉ định người dùng và nhóm nào có thể truy cập đối tượng, loại hoạt động nào họ có thể thực hiện trên đối tượng.
Cuối cùng, một bootstraps được thực thi và thiết lập kết nối với máy chủ C2. Tùy thuộc vào cấu hình, FoundCore có thể tạo một bản sao của chính nó vào một quy trình khác.
Đáng lưu ý trong chuỗi lây nhiễm, FoundCore tải xuống thêm hai phần mềm gián điệp là DropPhone (giúp thu thập thông tin môi trường từ máy nạn nhân và gửi nó đến DropBox) và CoreLoader (chạy mã giúp phần mềm độc hại tránh bị các sản phẩm bảo mật phát hiện).
Theo nhận định của chuyên gia, các nhóm tin tặc này thường có xu hướng chia sẻ chiến thuật với nhau, vì vậy sẽ có rất nhiều chiến dịch tấn công khác có lối chiến thuật tấn công tương tự. Chính vì vậy các tổ chức, doanh nghiệp, đặc biệt là các cơ quan đơn vị nhà nước cần cập nhật những thông tin mới nhất về các mối đe dọa an ninh mạng để có những biện pháp phòng ngừa kịp thời trước những cuộc tấn công mạng có thể xảy ra.
Quốc Trường
09:00 | 22/03/2021
14:00 | 14/10/2020
13:00 | 09/03/2021
12:00 | 15/10/2024
Một làn sóng hành động thực thi pháp luật quốc tế mới với sự tham gia của 12 quốc gia đã bắt giữ 4 thành viên và phá hủy 9 máy chủ có liên quan đến hoạt động tống tiền LockBit (hay còn gọi là Bitwise Spider), đánh dấu đợt tấn công mới nhất nhằm vào băng nhóm tội phạm mạng từng có động cơ tài chính mạnh mẽ.
14:00 | 02/10/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
14:00 | 09/09/2024
Những kẻ tấn công chưa rõ danh tính đã triển khai một backdoor mới có tên Msupedge trên hệ thống Windows của một trường đại học ở Đài Loan, bằng cách khai thác lỗ hổng thực thi mã từ xa PHP (có mã định danh là CVE-2024-4577).
09:00 | 26/06/2024
Việc xác thực 2 yếu tố bằng mã OTP được xem là biện pháp bảo mật an toàn. Tuy nhiên các tin tặc đã tìm ra kẽ hở để sử dụng phương pháp này tấn công lừa đảo.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
