Theo báo cáo của các nhà nghiên cứu, nhóm tin tặc Mustang Panda gần đây có liên quan đến các cuộc tấn công mạng vào Myanmar cũng như các nước châu Á khác với một biến thể backdoor PlugX (còn gọi là Korplug) có tên là DOPLUGS.
Được biết, Mustang Panda còn được gọi là Camaro Dragon, Earth Preta và Stately Taurus, được cho là đã nhắm mục tiêu vào các thực thể ở Myanmar, Philippines, Nhật Bản và Singapore, bằng các email lừa đảo được thiết kế để phân phối hai gói phần mềm độc hại.
“Các tác nhân đe dọa đã tạo ra phần mềm độc hại vào ngày 4-5/3/2024, trùng với thời điểm diễn ra Hội nghị Cấp cao Đặc biệt ASEAN - Australia”, các nhà nghiên cứu chia sẻ.
Một trong những gói phần mềm độc hại là tệp ZIP ẩn bên trong tệp thực thi Talking_Points_for_China[.]exe. Khi được khởi chạy, tệp này sẽ tải tệp KeyScramblerIE[.]dll và cuối cùng triển khai phần mềm độc hại PUBLOAD - một dạng mã độc trình tải xuống trước đây được sử dụng để loại bỏ PlugX. Điều đáng nói, tệp nhị phân là bản sao được đổi tên của một phần mềm hợp pháp có tên KeyScrambler[.]exe.
.png)
Hình 1. Tệp độc hại Talking_Points_for_China[.]exe
Mặt khác, gói thứ hai là một trình bảo vệ màn hình có tên gọi là Note PSO[.]scr được sử dụng để truy xuất mã độc giai đoạn tiếp theo từ một địa chỉ IP từ xa, bao gồm một chương trình lành tính (được ký số bởi một công ty trò chơi điện tử và được đổi tên thành WindowsUpdate[.]exe) và một tệp DLL lừa đảo.
Các nhà nghiên cứu cho biết, phần mềm độc hại này sau đó cố gắng thiết lập kết nối tới tên miền www[.]openservername[.]com tại với địa chỉ IP là 146[.]70[.1]49[.]36 để nhận lệnh từ máy chủ điểu khiển và ra lệnh (C2).
Unit42 cũng phát hiện lưu lượng truy cập mạng có liên quan giữa một thực thể liên kết với một quốc gia ASEAN và cơ sở hạ tầng C2 của nhóm tin tặc APT thứ hai của Trung Quốc. Cụm hoạt động đe dọa này được cho là gây ra các cuộc tấn công tương tự nhắm vào Campuchia.
Các nhà nghiên cứu đánh giá: “Những chiến dịch này tiếp tục chứng minh cách các tổ chức trở thành mục tiêu của gián điệp mạng, nơi các nhóm tin tặc dưới sự bảo trợ của nhà nước thu thập thông tin tình báo về lợi ích địa chính trị trong khu vực”.
.png)
Hình 2. Luồng hoạt động của nhóm tin tặc Earth Krahang
Các phát hiện này được đưa ra một thời gian ngắn sau khi hãng bảo mật Trend Micro (Mỹ) phát hiện một tác nhân đe dọa mới tới từ Trung Quốc có tên là Earth Krahang. Theo đó, Earth Krahang đã nhắm mục tiêu vào 116 thực thể trải rộng trên 35 quốc gia bằng cách lợi dụng lừa đảo trực tuyến và các lỗ hổng trong các máy chủ Openfire và Oracle công khai để phát tán phần mềm độc hại riêng biệt như PlugX, ShadowPad, ReShell và DinodasRAT (còn gọi là XDealer).
Các cuộc tấn công bắt đầu từ đầu năm 2022, trong đó kẻ tấn công tận dụng sự kết hợp của nhiều phương pháp để quét tìm dữ liệu nhạy cảm.
Nhóm tin tặc Earth Krahang tập trung chủ yếu vào Đông Nam Á, cũng thể hiện một số mức độ trùng lặp với một nhóm tin tặc khác của Trung Quốc là Earth Lusca (còn gọi là RedHotel). Theo các nhà nghiên cứu, cả hai nhóm này có thể được điều hành bởi cùng một tác nhân đe dọa và liên quan đến một nhà thầu của Chính phủ Trung Quốc tên là I-Soon.
Một trong những chiến thuật ưa thích của kẻ tấn công là khai thác quyền truy cập để xâm nhập vào cơ sở hạ tầng quan trọng và thực hiện tấn công các thực thể chính phủ khác, lạm dụng cơ sở hạ tầng để lưu trữ các payload độc hại, lưu lượng truy cập tấn công proxy và gửi email lừa đảo đến các mục tiêu liên quan bằng cách sử dụng tài khoản email bị xâm nhập của chính phủ đó.
Các nhà nghiên cứu cho biết, nhóm tin tặc Earth Krahang đã sử dụng cách thức tấn công khác, chẳng hạn như xây dựng máy chủ VPN trên các máy chủ công khai bị xâm nhập để thiết lập quyền truy cập vào mạng riêng của nạn nhân và thực hiện các cuộc tấn công brute-force để lấy thông tin xác thực email. Những thông tin này sau đó được sử dụng để đánh cắp email của các nạn nhân.
Tháng 02/2024, một bộ tài liệu bị rò rỉ từ I-Soon trên GitHub đã tiết lộ cách công ty này bán một loạt phần mềm đánh cắp và trojan truy cập từ xa như ShadowPad và Winnti (còn gọi là TreadStone) cho nhiều tổ chức Chính phủ Trung Quốc. Điều này cũng bao gồm một nền tảng tích hợp được thiết kế để thực hiện các chiến dịch tấn công mạng và một phần mềm độc hại trên Linux có tên là Hector.
Công ty an ninh mạng Bishop Fox (Mỹ) cho biết: “Nền tảng tích hợp bao gồm cả các ứng dụng và mạng nội bộ cũng như mạng bên ngoài. Ứng dụng nội bộ chủ yếu dùng để quản lý nhiệm vụ và tài nguyên. Trong khi đó ứng dụng bên ngoài được thiết kế để thực hiện các hoạt động mạng”.
Ngoài ra, một nhóm tin tặc cho thuê đến từ Trung Quốc (chưa được tiết lộ) được cho là cũng có liên quan đến chiến dịch POISON CARP năm 2019 nhắm vào các nhóm Tây Tạng và vụ tấn công mạng Comm100 năm 2022.
Ngoài các cuộc tấn công nhắm đến các chính phủ nước ngoài và dân tộc thiểu số trong nước (Trung Quốc) để lấy thông tin có giá trị, một số cuộc tấn công mạng được thực hiện độc lập với hy vọng thu hút được khách hàng là các tổ chức, cơ quan chính phủ khác có mục đích gián điệp mạng và đánh cắp thông tin đối phương.
Công ty an ninh mạng Recorded Future (Mỹ) trong một phân tích riêng, cho biết vụ rò rỉ đã làm sáng tỏ “mối quan hệ hoạt động và tổ chức” giữa I-Soon và ba nhóm tác nhân đe dọa khác do Chính phủ Trung Quốc bảo trợ như RedAlpha (còn gọi là Deepcliff), RedHotel và POISON CARP.
Các nạn nhân trong vụ rò rỉ dữ liệu của I-Soon ảnh hưởng đến ít nhất 22 quốc gia, trong đó các tổ chức chính phủ, viễn thông và giáo dục được nhắm tới nhiều nhất.
Hơn nữa, các tài liệu được công bố xác nhận rằng Tianfu Cup - một giải pháp mạng của Trung Quốc tham gia cuộc thi tấn công mạng lớn nhất thế giới Pwn2Own, hoạt động như một “hệ thống chuyên cung cấp thông tin về các lỗ hổng” cho chính phủ.
Nguồn gốc của vụ rò rỉ hiện vẫn chưa được xác định, mặc dù hai nhân viên của I-Soon chia sẻ rằng một cuộc điều tra đang diễn ra với sự cộng tác của cơ quan thực thi pháp luật. Hiện tại, trang web của công ty này đang tạm thời dừng hoạt động trực tuyến.
Ánh Trần
(Tổng hợp)
14:00 | 10/05/2024
11:00 | 26/04/2024
10:00 | 16/08/2024
09:00 | 05/02/2024
13:00 | 28/03/2024
10:00 | 22/11/2023
07:00 | 17/10/2024
Hơn 9.000 trang Facebook giả mạo đã bị Meta gỡ bỏ tại Úc, sau khi người dùng nước này bị lừa đảo số tiền lên đến 43,4 triệu USD thông qua các chiêu trò tinh vi sử dụng công nghệ Deepfake người nổi tiếng.
16:00 | 27/09/2024
Chiều ngày 27/9, tại Hà Nội, Tạp chí An toàn thông tin đã tổ chức Hội nghị Hội đồng biên tập Ấn phẩm Khoa học và Công nghệ trong lĩnh vực an toàn thông tin. Đồng chí Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ, Chủ tịch Hội đồng biên tập Ấn phẩm đã tham dự và chủ trì Hội nghị.
07:00 | 27/09/2024
Trung tâm điều phối an ninh mạng quốc gia Ukraine (NCCC) đã hạn chế việc sử dụng ứng dụng nhắn tin Telegram trong các cơ quan chính phủ, đơn vị quân đội và cơ sở hạ tầng quan trọng, với lý do lo ngại về an ninh quốc gia.
10:00 | 26/09/2024
“Các doanh nghiệp Việt Nam đang gặp khó khăn rất lớn trong việc sắp xếp ngân sách để đầu tư vào công nghệ, cũng như không có đủ đội ngũ nhân viên được đào tạo về Blockchain và AI để vận hành hiệu quả”, ông Phan Đức Trung, Phó Chủ tịch Thường trực Hiệp hội Blockchain Việt Nam, Viện trưởng Viện ABAII nhấn mạnh.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Sáng ngày 23/10, tại Hà Nội, Học viện Kỹ thuật mật mã (Ban Cơ yếu Chính phủ) long trọng tổ chức Lễ khai giảng năm học 2024 - 2025. Thiếu tướng Nguyễn Hữu Hùng, Phó Trưởng ban Ban Cơ yếu Chính phủ dự và chỉ đạo buổi Lễ.
17:00 | 23/10/2024
Microsoft cho biết trong báo cáo thường niên ngày 15/10/2024 rằng Israel đã trở thành mục tiêu hàng đầu của các cuộc tấn công mạng của Iran kể từ khi cuộc chiến tranh ở Gaza bắt đầu vào năm ngoái.
10:00 | 25/10/2024
Ngày 21/10, IBM đã cho ra mắt phiên bản mới nhất của các mô hình trí tuệ nhân tạo dành cho doanh nghiệp, với mục đích tận dụng sự gia tăng nhu cầu sử dụng trong các doanh nghiệp áp dụng công nghệ AI tạo sinh.
10:00 | 27/10/2024
