Cảnh báo email lừa đảo phát tán mã độc KONNI

Hạnh Tâm| 20/08/2020 09:16
Theo dõi ICTVietnam trên

Cơ quan an ninh cơ sở hạ tầng và an ninh mạng quốc gia (CISA) của Bộ An ninh nội địa Hoa Kỳ đã đưa ra cảnh báo về các cuộc tấn công phát tán Trojan truy nhập từ xa (RAT) KONNI.

Hoạt động từ năm 2014 nhưng không được chú ý đến trong suốt 3 năm vì KONNI chỉ được sử dụng trong các cuộc tấn công vào những mục tiêu quan trọng, bao gồm những cuộc tấn công nhắm vào Liên Hợp Quốc, Quỹ Nhi đồng Liên Hợp Quốc (UNICEF) và các tổ chức liên quan đến Triều Tiên. Các nhà nghiên cứu bảo mật cũng xác định được mối liên hệ giữa KONNI và DarkHotel.

CISA cảnh báo những email lừa đảo phát tán mã độc KONNI - Ảnh 1.

Khi được cài trên máy tính của nạn nhân, mã độc KONNI có thể đánh cắp một lượng lớn thông tin, nhật ký tổ hợp phím (log keystrokes), chụp ảnh màn hình, lấy cắp dữ liệu và nội dung trong vùng nhớ tạm từ các trình duyệt như Chrome, Firefox, Opera và thực thi mã tùy ý.

Trong một cảnh báo mới được công bố, CISA cảnh báo về những email phát tán các tệp tin Microsoft Word có chứa mã macro của ứng dụng lập trình Visual Basic được thiết kế để tìm và cài đặt phần mềm độc hại KONNI.

CISCA giải thích rằng, mã macro được thiết kế để thay đổi màu phông chữ nhằm đánh lừa nạn nhân truy nhập tới nội dung cho phép, kiểm tra xem kiến trúc hệ thống là 32 bit hay 64 bit, đồng thời chạy dòng lệnh để tải về các tệp tin bổ sung. Công cụ dữ liệu chứng thực CertUtil được sử dụng để tải xuống các tệp tin từ xa.

Một tệp tin văn bản từ vị trí xa được tải xuống sau đó và được CertUtil giải mã và lưu dưới dạng tệp tin .BAT, được thực thi sau khi tệp tin văn bản được xóa bỏ.

Theo CISA, thông tin mà KONNI có thể thu thập bao gồm địa chỉ IP, tên người dùng, danh sách các tiến trình đang chạy cũng như thông tin chi tiết trên hệ điều hành, ổ đĩa được kết nối máy chủ và tên máy tính.

Cơ quan này cũng đã công bố danh sách những kỹ thuật MITRE ATT&CK (một framework về kỹ thuật - chiến thuật - chiến lược tấn công của tin tặc dựa vào những tình huống thực tế) được liên kết với KONNI cũng như những chữ ký Snort dành cho những nhà quản lý sử dụng để phát hiện các khai thác KONNI.

Để bảo vệ khỏi mối đe dọa này, người dùng và những người quản trị viên nên đảm bảo hệ thống được cập nhật, sử dụng các giải pháp chống virus trên thiết bị của họ. Bên cạnh đó, người dùng, quản trị viên cũng tránh mở các tệp tin đính kèm trên email từ những nguồn không xác định và nên thực hiện các chính sách liên quan đến quyền của người dùng, mật khẩu, các dịch vụ được phép, tải xuống phần mềm và giám sát hành vi của người dùng.

Nổi bật Tạp chí Thông tin & Truyền thông
  • Báo chí quốc tế viết gì về Triển lãm Quốc phòng quốc tế Việt Nam 2024?
    Sự kiện Triển lãm Quốc phòng quốc tế Việt Nam năm 2024 thu hút sự chú ý trong - ngoài nước và cả nhiều cơ quan truyền thông quốc tế.
  • “AI như là một chiếc gương đen”
    Bài báo "AI is the Black Mirror" của Philip Ball cung cấp một cái nhìn chi tiết về trí tuệ nhân tạo (AI) và tác động của nó đến nhận thức con người.
  • Chất lượng thông tin báo chí về kinh tế - Vai trò, yêu cầu thước đo và giải pháp cần có
    Báo chí kinh tế cần là diễn đàn thực thụ cho doanh nghiệp, không chỉ cung cấp thông tin. Thông tin cần chính xác và kịp thời để hỗ trợ doanh nghiệp trong điều chỉnh chiến lược kinh doanh.
  • Những “ngọn đuốc” ở bản
    Ở Tuyên Quang, người có uy tín là những người đi đầu thay đổi nếp nghĩ, cách làm của bà con dân tộc thiểu số (DTTS). Họ như những “ngọn đuốc” đi trước, thắp sáng, lan tỏa tinh thần trách nhiệm, nêu gương với cộng đồng. Gương mẫu, uy tín, những người có uy tín đã và đang góp sức xây dựng bản làng, thôn xóm ngày càng ấm no, giàu mạnh.
  • 5 lý do để tăng cường bảo mật mạng
    Các chương trình an ninh mạng đã phát triển đáng kể trong vài thập kỷ qua. Sự ra đời của điện toán đám mây đã phá vỡ ranh giới an ninh mạng thông thường của của các doanh nghiệp, buộc các tổ chức phải liên tục cập nhật những chiến lược phòng thủ của mình.
Đừng bỏ lỡ
Cảnh báo email lừa đảo phát tán mã độc KONNI
POWERED BY ONECMS - A PRODUCT OF NEKO