Xuất hiện nhóm APT mới có tên CloudSorcerer nhắm mục tiêu vào chính phủ Nga

16:00 | 26/07/2024 | HACKER / MALWARE

Nhóm APT có tên là CloudSorcerer đã được phát hiện đang nhắm mục tiêu vào chính phủ Nga bằng cách tận dụng các dịch vụ đám mây để giám sát và kiểm soát (command-and-control, C2) và lọc dữ liệu.

Xuất hiện nhóm APT mới có tên CloudSorcerer nhắm mục tiêu vào chính phủ Nga

đã phát hiện ra hoạt động này vào tháng 5 năm 2024. Công ty cho biết thủ đoạn mà nhóm tin tặc sử dụng có những điểm tương đồng với CloudWizard, nhưng chỉ ra những điểm khác biệt trong mã nguồn phần mềm độc hại. Các cuộc tấn công sử dụng một chương trình thu thập dữ liệu sáng tạo và một loạt chiến thuật trốn tránh để che đậy dấu vết.

Đây là một công cụ gián điệp mạng tinh vi được sử dụng để giám sát lén lút, thu thập và lọc dữ liệu thông qua cơ sở Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại tận dụng tài nguyên đám mây làm máy chủ ra lệnh và kiểm soát (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Ngoài ra, CloudSorcerer sử dụng GitHub làm máy chủ C2 ban đầu.

Hiện chưa rõ phương pháp chính xác được sử dụng để xâm nhập vào các mục tiêu, nhưng quyền truy cập ban đầu được khai thác để loại bỏ tệp nhị phân thực thi di động dựa trên C được sử dụng làm backdoor, khởi tạo liên lạc C2 hoặc đưa shellcode vào các quy trình hợp pháp khác dựa trên quy trình trong đó nó được thực thi – cụ thể là mspaint.exe, msiexec.exe hoặc chứa chuỗi "browser".

Công ty Kaspersky lưu ý người dùng: “Khả năng của phần mềm độc hại tự động điều chỉnh hành vi của nó dựa trên tiến trình mà nó đang chạy, cùng với việc sử dụng giao tiếp giữa các tiến trình phức tạp thông qua các đường dẫn của , càng làm nổi bật thêm sự tinh vi của nó”.

Hà Phương

‹ › ×

Tin liên quan

Chiến dịch APT Triangulation và những cuộc tấn công zero-day trên các thiết bị iOS

14:00 | 01/11/2023

Trong báo cáo mới đây của hãng bảo mật Kaspersky đã trình bày chi tiết về khoảng thời gian mà các tin tặc thực hiện chiến dịch Triangulation, đã ẩn giấu và che đậy dấu vết của chúng trong khi bí mật thu thập thông tin nhạy cảm từ các thiết bị bị xâm nhập.

Phân tích bộ công cụ tấn công mạng của nhóm tin tặc APT36

08:00 | 13/10/2023

Vào tháng 7/2023, các chuyên gia bảo mật tại nhóm nghiên cứu ThreatLabz của công ty an ninh mạng Zscaler đã phát hiện các hoạt động độc hại mới do nhóm tin tặc APT36 có trụ sở tại Pakistan thực hiện. Đây là một nhóm đe dọa mạng tinh vi có lịch sử thực hiện các hoạt động gián điệp có chủ đích ở Nam Á. ThreatLabz quan sát APT36 nhắm mục tiêu vào Chính phủ Ấn Độ bằng cách sử dụng bộ công cụ quản trị từ xa (Remote administration tool - RAT) Windows chưa từng được biết đến, các công cụ gián điệp mạng với các tính năng mới, cùng cơ chế phân phối được cải tiến và phương thức tấn công mới trên Linux.

Giải mã phần mềm gián điệp mạng CloudSorcerer

10:00 | 16/08/2024

Vào tháng 5/2024, các nhà nghiên cứu của hãng bảo mật Kaspersky đã phát hiện ra một mối đe dọa APT mới nhắm vào các thực thể Chính phủ Nga. Được gọi là CloudSorcerer, đây là một công cụ gián điệp mạng tinh vi được sử dụng để theo dõi lén lút, thu thập dữ liệu và đánh cắp thông tin thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại này tận dụng các tài nguyên đám mây và GitHub làm máy chủ điều khiển và ra lệnh (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Bài viết này sẽ tiến hành phân tích và giải mã về công cụ gián điệp mạng này, dựa trên báo cáo mới đây của Kaspersky.

Báo cáo xu hướng tấn công APT trong quý 3/2023

14:00 | 27/10/2023

Hàng năm, nhóm Nghiên cứu và Phân tích toàn cầu (GReAT) của Kaspersky sẽ công bố các bản tóm tắt mỗi quý về các hoạt động tấn công có chủ đích (APT). Đây là một hoạt động thường niên để cung cấp cái nhìn tổng quan thông tin về các mối đe dọa được duy trì trong suốt hơn 5 năm qua của Kaspersky. Bài viết này trình bày về các xu hướng tấn công APT nổi bật trong quý 3/2023 dựa trên báo cáo mới đây của hãng bảo mật đến từ Nga.

Tin tặc APT41 sử dụng ShadowPad, Cobalt Strike trong cuộc tấn công mạng vào Viện Đài Loan

14:00 | 20/08/2024

Theo Cisco Talos, một viện nghiên cứu trực thuộc chính phủ Đài Loan chuyên về điện toán và các công nghệ liên quan đã bị nhóm tin tặc có mối liên kết với Trung Quốc tấn công.

Tin cùng chuyên mục

Phát hiện nhóm tin tặc nhắm mục tiêu vào Nga và Belarus

16:00 | 04/09/2024

Kaspersky vừa phát hiện một nhóm tin tặc có tên Head Mare, chuyên tấn công các tổ chức ở Nga và Belarus bằng cách khai thác lỗ hổng zero-day trong phần mềm nén và giải nén phổ biến WinRAR.

FrostyGoop: Phần mềm độc hại ICS mới nhắm mục tiêu vào các cơ sở hạ tầng quan trọng

14:00 | 07/08/2024

Các nhà nghiên cứu an ninh mạng đã phát hiện phần mềm độc hại nhắm mục tiêu vào Hệ thống kiểm soát công nghiệp (ICS) được sử dụng trong một cuộc tấn công mạng nhắm vào một công ty năng lượng Lvivteploenerg ở thành phố Lviv của Ukraine vào đầu tháng 1/2024.

Thêm 2 lỗ hổng Twilio Authy và IE vào danh sách các lỗ hổng bị khai thác

13:00 | 01/08/2024

Cơ quan An ninh Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã bổ sung 2 lỗ hổng bảo mật vào danh mục Các lỗ hổng bị khai thác đã biết (KEV), dựa trên bằng chứng về việc khai thác tích cực trong thực tế.

Phát hành tập lệnh khai thác lỗ hổng trên các máy chủ Progress Telerik Report

10:00 | 04/07/2024

Các nhà nghiên cứu đã phát hành một tập lệnh khai thác (PoC) cho chuỗi lỗ hổng dẫn đến thực thi mã từ xa (RCE) trên các máy chủ Progress Telerik Report.