An toàn thông tin

Các tổ chức Hồng Kông bị tấn công bởi phần mềm độc hại

Hạnh Tâm 14:37 24/08/2023

Một nhóm mối đe dọa được cho là liên quan đến một cuộc tấn công phần mềm chuỗi cung ứng chủ yếu nhắm vào các tổ chức ở Hồng Kông và các khu vực khác ở châu Á.

Nhóm săn tìm mối đe dọa của Symantec thuộc Broadcom đang theo dõi và đặt tên mối đe dọa này là Carderbee.

Theo công ty bảo mật này, các cuộc tấn công lợi dụng phiên bản đã được trojan hóa của một phần mềm hợp pháp có tên EsafeNet Cobra DocGuard Client để phát tán một cửa hậu đã biết có tên là PlugX (còn gọi là Korplug) trên các mạng của nạn nhân.

Công ty cho biết: “Trong quá trình tấn công này, những kẻ tấn công đã sử dụng phần mềm độc hại có chứng chỉ hợp pháp của Microsoft”.

a1.jpg

Việc sử dụng Cobra DocGuard Client để bảo vệ khỏi cuộc tấn công chuỗi cung ứng trước đây đã được ESET nhấn mạnh trong báo cáo hoạt động APT hàng quý của năm nay, nêu rõ chi tiết về vụ xâm phạm vào tháng 9/2022, trong đó, một công ty giấu tên ở Hồng Kông đã bị xâm phạm thông qua một bản cập nhật phần mềm độc hại.

Công ty được cho là đã bị lây nhiễm phần mềm độc hại hồi tháng 9/2021 đã bị sử dụng kỹ thuật tương tự. Cuộc tấn công có liên quan đến một tác nhân đe dọa với tên Lucky Mouse (còn gọi là APT27, Budworm hoặc Emissary Panda) đã dẫn đến việc triển khai PlugX.

Tuy có những điểm tương đồng, nhưng chiến dịch mới nhất được Symantec phát hiện vào tháng 4/2023 vẫn chưa đủ bằng chứng thuyết phục về việc liên quan giữa chiến dịch với tác nhân nói trên. Hơn nữa, việc PlugX được chia sẻ bởi nhiều nhóm tin tặc có liên quan khiến cho thuộc tính trở nên khó khăn hơn.

Có tới 100 máy tính trong các tổ chức bị ảnh hưởng được cho là đã bị nhiễm virus. Ứng dụng Cobra DocGuard Client đã được cài đặt trên khoảng 2.000 điểm cuối cho thấy có sự tập trung của các mục tiêu có giá trị cao. Mặc dù vậy, phương pháp chính xác được sử dụng để tiến hành cuộc tấn công chuỗi cung ứng ở giai đoạn này vẫn chưa được biết.

Syamtec cho biết: "Phần mềm độc hại đã được phát tán rên các máy tính bị ảnh hưởng. Điều này cho thấy rằng những kẻ tấn công xâm nhập vào các máy tính đẻ tấn công chuỗi cung ứng hoặc cấu hình độc hại liên quan đến Cobra DocGuard”.

Trong một trường hợp, việc xâm phạm bảo mật như một nơi để triển khai trình tải xuống có chứng chỉ được ký điện tử từ Microsoft, sau đó chứng chỉ này được sử dụng để truy xuất và cài đặt PlugX từ máy chủ từ xa.

Việc cấy ghép module cung cấp cho kẻ tấn công một cửa hậu bí mật trên các nền tảng bị lây nhiễm phần mềm độc hại để chúng có thể tiếp tục cài đặt các tải trọng bổ sung, thực thi lệnh, ghi lại các lần nhấn phím, liệt kê các tệp và theo dõi các quy trình đang chạy, cùng nhiều thao tác khác.

Những phát hiện này đã làm sáng tỏ việc các tác nhân đe dọa tiếp tục sử dụng phần mềm độc hại có chữ ký của Microsoft để tiến hành các hoạt động sau khai thác và vượt qua các biện pháp bảo vệ an ninh.

Tuy nhiên, vẫn chưa rõ Carderbee ở đâu hoặc mục tiêu cuối cùng của nó là gì và liệu nó có bất kỳ mối liên hệ nào với Lucky Mouse hay không. Nhiều chi tiết khác về nhóm hiện vẫn chưa được tiết lộ hoặc chưa được biết.

Symantec cho biết: “Có vẻ những kẻ tấn công đằng sau hoạt động này là những kẻ kiên nhẫn và lành nghề. Chúng tận dụng cả cuộc tấn công chuỗi cung ứng và phần mềm độc hại đã ký tên để thực hiện hoạt động mà vẫn ó thể ẩn mình. Việc chúng dường như chỉ triển khai tải trọng (payload) của mình trên một số máy tính mà chúng có quyền truy cập cũng cho thấy một mức độ lập kế hoạch và trinh sát nhất định thay cho những kẻ tấn công đứng sau hoạt động này"./.

Bài liên quan
Nổi bật Tạp chí Thông tin & Truyền thông
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
  • Người giữ bình yên nơi vùng cao
    Huyện Sơn Động là huyện vùng cao của tỉnh Bắc Giang, có tỷ lệ người dân tộc thiểu số (DTTS) cao nhất tỉnh, chiếm 56,92%, với địa hình rừng núi, giao thông đi lại khó khăn, phong tục tập quán, bản sắc văn hóa đa dạng chính vì vậy công tác đảm bảo an ninh trật tự ở các bản làng luôn là nhiệm vụ được các cấp ủy Đảng quan tâm. Do đó, đội ngũ già làng, trưởng bản, người uy tín luôn là đội ngũ nòng cốt góp phần xây dựng khối đại đoàn kết dân tộc, giữ gìn an ninh trật tự xã hội trong cộng đồng.
  • Tuyên Quang: Kiên trì phương châm “mưa dầm thấm lâu” để nâng cao kiến thức pháp luật cho đồng bào vùng DTTS&MN
    Với phương châm “mưa dầm thấm lâu”, những năm qua, các cấp chính quyền tỉnh Tuyên Quang đã đa dạng hoá các hình thức tuyên truyền, góp phần giúp các kiến thức pháp luật về mọi mặt của đời sống ngày một đến gần hơn với người dân (đặc biệt là vùng đồng bào DTTS&MN).
Đừng bỏ lỡ
Các tổ chức Hồng Kông bị tấn công bởi phần mềm độc hại
POWERED BY ONECMS - A PRODUCT OF NEKO