Chủ đề

(Không gian mạng) - Ngày 10/10, hãng bảo mật Palo Alto Networks (Mỹ) cập nhật phát hiện mới về chiến dịch mạng OilRig của nhóm gián điệp mạng Iran nhắm vào các nước Trung Đông, tiết lộ nhóm này đang sử dụng một trojan mới trong các cuộc tấn công gần đây nhất.

Cụ thể, các cuộc tấn công của OilRig trong tháng 08/2017 đã chuyển sang sử dụng mã độc mới ISMInjector, nhắm vào một tổ chức thuộc Chính phủ Các Tiểu Vương quốc Ả Rập Thống nhất.

Trong các cuộc tấn công trước, hoạt động của OilRig gắn liền với việc sử dụng trojan truy cập từ xa (RAT) có tên ISMDoor. Mã độc này cũng được các nhà nghiên cứu xác định có mặt trong các cuộc tấn công của nhóm gián điệp mạng khác cũng của Iran có tên Greenbug.

Hãng bảo mật Palo Alto Networks (Mỹ) cập nhật phát hiện mới về chiến dịch mạng OilRig của nhóm gián điệp mạng Iran nhắm vào các nước Trung Đông

Hãng bảo mật Palo Alto Networks (Mỹ) cập nhật phát hiện mới về chiến dịch mạng OilRig của nhóm gián điệp mạng Iran nhắm vào các nước Trung Đông

Trong các cuộc tấn công vào tháng 7/2017, OilRig bắt đầu sử dụng mã độc mới có tên “ISMAgent”, được cho là một biến thể của mã độc ISMDoor. Nhưng trong các cuộc tấn công gần đây hơn được Palo Alto Networks quan sát vào tháng 8/2017, nhóm này đã sử dụng mã độc ISMInjector.

ISMInjector là một công cụ có cấu trúc ​​phức tạp và chứa các kỹ thuật chống phân tích mới và chưa từng được nhóm này sử dụng trước đây.

Các nhà nghiên cứu Palo Alto Networks nhận định: “Thiết kế phức tạp và các kỹ thuật chống phân tích mới trong mã độc này cho thấy nhóm đang tăng cường nỗ lực phát triển công cụ giúp chúng tránh sự phát hiện và đạt được hiệu quả cao hơn trong các cuộc tấn công”.

Trong cuộc tấn công nhằm vào Chính phủ UAE, tin tặc đã phát tán mã độc thông qua các tài liệu độc đính kèm trong email với tiêu đề “Việc hệ trọng” (Important Issue). Điểm khiến email lừa đảo này trở nên thú vị chính là địa chỉ người gửi đến từ chính tên miền của tổ chức bị nhắm mục tiêu. Mặc dù ban đầu các chuyên gia cho rằng tin tặc giả mạo người gửi, nhưng sau đó họ xác định tin tặc thực sự đã sử dụng một tài khoản OWA (Outlook Web Access) bị xâm nhập nhờ các thông tin đăng nhập thu được trong một cuộc tấn công lừa đảo trước đó.

ISMInjector sẽ có nhiệm vụ tải về một phiên bản mã độc ISMAgent bằng cách tự cài chính nó vào một quá trình từ xa do nó tạo ra.

OilRig được Palo Alto báo cáo lần đầu vào tháng 05/2016, từng nhắm vào cơ sở hạ tầng quan trọng ở Ả Rập Saudi và sau đó mở rộng Qatar, Israel, Thổ Nhĩ Kỳ, Mỹ năm 2016.
Hiện các, nhiều nhóm gián điệp mạng của Iran đã bị phát hiện bao gồm APT33, Rocket Kitten, Cobalt Gypsy (Magic Hound), Charming Kitten (aka Newscaster, NewsBeef) và CopyKittens.

Gia Cát Linh (dịch từ Security Week)

Gián điệp mạng Trung Quốc tấn công nhà thầu quốc phòng Úc

Gián điệp mạng Trung Quốc tấn công nhà thầu quốc phòng Úc

Ngày 10/10, Bộ trưởng An ninh mạng Úc Dan Tehan cho biết, tin tặc Trung Quốc đã tấn công một nhà thầu quốc phòng của nước này và âm thầm hoạt động trong một thời gian dài trước khi bị các nhà...
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyentandung.org
Thích và chia sẻ bài này trên