Chủ đề

(Không gian mạng) - Ngày 08/03, hãng bảo mật McAfee (Mỹ) báo cáo phát hiện nhóm tin tặc Hidden Cobra (Lazarus) của Triều Tiên đang nhắm vào hệ thống tài chính của Thổ Nhĩ Kỳ với một chiến dịch mới mạnh mẽ hơn, tương tự với các cuộc tấn công hệ thống SWIFT toàn cầu trước đó của nhóm.

trieu-tien-1507610450182

Theo báo cáo, McAfee tin rằng ý định của chiến dịch lần này là chiếm quyền truy cập vào các tổ chức tài chính cụ thể của Thổ Nhĩ Kỳ, lây nhiễm qua email giả mạo đính kèm tài liệu Word chứa mã độc khai thác lỗ hổng Flash. Lỗ hổng Flash này chỉ mới được phát hiện vào cuối tháng 01/2018, nhưng các nhà nghiên cứu cho rằng tin tặc Triều Tiên đã khai thác nó từ giữa tháng 11/2017. Adobe đã vá lỗ hổng này trong vòng 1 tuần, tuy vậy những máy tính chưa cập nhật phiên bản Flash mới nhất sẽ còn bị khai thác.

Vụ tấn công xảy ra vào ngày 02 và 03/03. Nạn nhân gồm có 1 tổ chức tài chính thuộc chính phủ, một tổ chức nhà nước có tham gia vào lĩnh vực tài chính và thương mại, và 3 tổ chức tài chính lớn. Tin tặc đã lợi dụng lỗ hổng Flash để thả mã độc Bankshot, một RAT cho phép tin tặc toàn quyền khai thác máy tính nạn nhân.

Tháng 12/2017, Trung tâm Ứng cứu máy tính khẩn cấp Mỹ (US-CERT) đã có bài báo cáo phân tích về mã độc Bankshot, được mô tả là do nhóm tin tặc Hidden Cobra của Triều Tiên phát triển và sử dụng. McAfee đã phân tích phiên bản mã độc trong chiến dịch lần này và cho biết “nó tương tự với mã độc Bankshot báo cáo năm 2017 đến 99%”.

Trong chiến dịch email giả mạo này, mã độc Bankshot phát tán qua tài liệu Word có tên Agreement.docx, giả mạo là một mẫu hợp đồng phân phối Bitcoin. Một khi được kích hoạt, tập DDL độc sẽ được tải về từ tên miền falcancoin.io – trông giống như tên miền nền tảng cho vay tiền ảo hợp pháp Facon Coin.

Tập tin DDL liên lạc với 3 máy chủ kiểm soát (các đường dẫn URL được hardcode trong mã độc), 2 trong số đó là trang cờ bạc trực tuyến tiếng Trung. Theo như hồi đáp nhận từ máy chủ kiểm soát, mã độc có thể xử lý một khối lượng lớn tác vụ độc hại, tập trung thu thập dữ liệu và kiểm soát các quy trình trong hệ thống. Nó còn chứa 2 phương thức xóa tập tin, giúp loại bỏ dấu vết hiện diện của mã độc và hoạt động mang tính phá hủy. Sau mỗi bước hành động, mã độc gửi một phản hồi về máy chủ kiểm soát để xác nhận thành công.

Nhóm Hidden Cobra từng liên quan đến nhiều cuộc tấn công mạng nhắm vào các tổ chức tài chính. Theo McAfee, mã độc lần này được kết nối đến mã độc Trojan Manuscript, từng được sử dụng để tấn công ngân hàng Hàn Quốc, có khả năng dò tìm những máy chủ liên quan đến mạng SWIFT và các chuỗi máy chủ kiểm soát tương tự. Đây cũng là những khả năng được tìm thấy trong mã độc tấn công cơ sở tài chính Thổ Nhĩ Kỳ lần này.

Tin tặc Triều tiên là thủ phạm của nhiều cuộc tấn công hệ thống SWIFT năm 2015/2016. Các nhà phân tích vẫn chưa tìm được bằng chứng cho thấy phiên bản mã độc này được thiết kế để thực hiện giao dịch tài chính; hơn thế, McAfee đánh giá đây là một kênh dẫn vào môi trường máy tính mục tiêu, trong đó tin tặc có thể tiến hành những bước xa hơn như lây nhiễm mã độc giám sát tài chính”.

McAfee tự tin rằng hãng đã phát hiện một chiến dịch trinh sát mới của nhóm Hidden Cobra (tức của chính phủ Triều Tiên) nhắm vào các tổ chức tài chính Thổ Nhĩ Kỳ. McAfee kết luận: “Chúng tôi đã tìm thấy, những thứ có thể là bước đầu thu thập dữ liệu để thực hiện vụ trộm sau này từ các tổ chức tài chính ở Thổ Nhĩ Kỳ (và có thể là nhiều nước khác nữa)”.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên