Chủ đề

(Không gian mạng) - Ngày 05/10, đơn vị “Unit 41” của hãng bảo mật Palo Alto Network (Mỹ) báo cáo phát hiện một chiến dịch phishing (được đặt tên là FreeMilk) sử dụng kỹ thuật tấn công tương đối mới, có tiềm năng mang lại hiệu quả cao.

Đây là loại kỹ thuật có thể hướng tới các mục tiêu có giá trị cao, bao gồm các cá nhân có thể tiếp cận với thông tin có giá trị hoặc nhạy cảm như các thành viên Hội đồng quản trị, các nhà điều hành cấp C, nhân viên quân sự và chính trị hoặc những người có thông tin nóng như các nhà báo hay nhà hoạt động. Thậm chí những cá nhân thân cận với những người này cũng có thể được sử dụng như là một phần của chiến dịch tấn công, ví dụ như trợ lý cho một Giám đốc điều hành hoặc thậm chí bạn bè hay gia đình của người đó.

FreeMilk

Hãng bảo mật Palo Alto Network (Mỹ) báo cáo phát hiện một chiến dịch phishing (được đặt tên là FreeMilk) sử dụng kỹ thuật tấn công tương đối mới của tin tặc Triều Tiên

Cụ thể, nhóm hacker này sử dụng một kỹ thuật phức tạp can thiệp vào các cuộc trò chuyện trong email đang diễn ra để chèn tài liệu độc với bề ngoài từ một nguồn hợp pháp, nhằm lây nhiễm vào những người còn lại cùng tham gia cuộc trò chuyện đó.
Loại tấn công này đòi hỏi tin tặc phải chiếm được 01 trong số tài khoản của người tham gia cuộc trò chuyện đó.

Những kẻ này âm thầm kiểm soát tài khoản email của nạn nhân, nghiên cứu kỹ lưỡng các cuộc trò chuyện diễn ra và gửi một tin nhắn nằm trong chủ đề đang được nhóm đề cập, trong tin nhắn này chứa tài liệu chèn mã độc.

Các nhà nghiên cứu phát hiện nạn nhân bị ảnh hưởng gồm một ngân hàng trụ sở Trung Đông, công ty dịch vụ về quyền sở hữu trí tuệ trụ sở Châu Âu, một tổ chức thể thao quốc tế và các cá nhân gián tiếp mối quan hệ với một quốc gia ở Đông Bắc Á.

Chiến dịch đặc biệt này bị tình nghi do một nhóm tin tặc hoạt động trong quá khứ gây ra.
Tuy không nêu tên nhóm, nhưng các báo cáo trước đây chỉ ra rằng các tin tặc này có thể đang hoạt động ngoài Triều Tiên, chuyên chọn các mục tiêu liên quan tới lợi ích của chính quyền Triều Tiên.

Nhóm này từng đứng sau các cuộc tấn công nhắm mục tiêu những người Triều Tiên đào tẩu sang Anh và các công ty Hàn Quốc.

Đối với chiến dịch mới nhất này, nhóm đã tấn công bằng cách triển khai một tài liệu Word độc có nhiệm vụ khai thác lỗ hổng CVE-2017-0199 để tải về và chạy mã độc giai đoạn đầu có tên PoohMilk. Công cụ cơ bản này có hai nhiệm vụ – giúp khởi động bền bỉ thông qua key registry và tải một malware có tên Freenki.

Freenki có nhiệm vụ quét thông tin giá trị trên máy và tải mã độc giai đoạn 03.

Palo Alto cho biết họ không lấy được mẫu mã độc giai đoạn 03 này, nhưng họ đã nhận thấy điểm giống nhau của cơ sở hạ tầng ra lệnh và kiểm soát của mã độc này với các chiến dịch trong quá khứ.

Tuy nhiên, hãng bảo mật cũng lưu ý cơ sở hạ tầng C&C được lưu trữ trên các miền bị xâm nhập và các vụ xâm nhập xảy cách nhau đã vài tháng, có nghĩa là nhiều nhóm khác nhau có thể đã sử dụng cùng một máy chủ này.

Gia Cát Linh (dịch từ Bleeping Computer)

Phát hiện mã độc trong hệ thống máy tính không quân Mỹ

Phát hiện mã độc trong hệ thống máy tính không quân Mỹ

Cách đây 02 tuần, hệ thống bảo mật máy chủ của quân đội Mỹ phát hiện mã độc xuất hiện trên hệ thống máy tính của hạm đội máy bay không người lái, hiện tại chưa ảnh hưởng đến các...

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@nguyentandung.org
Thích và chia sẻ bài này trên