Chủ đề

(Không gian mạng) - Ngày 22/09, hãng bảo mật Check Point (Israel) cảnh báo phát hiện một nhóm tin tặc từng triển khai các chiến dịch phát tán mã độc để do thám Singapore và Campuchia đã ngày càng tập trung vào các tổ chức chính phủ tại Đông Nam Á để đánh cắp dữ liệu bí mật.

Tin tặc. Ảnh minh họa

Tin tặc. Ảnh minh họa

Các phát hiện của Check Point cho thấy các hoạt động này diễn ra trong 7 tháng, từ tháng 12/2018 đến tháng 6/2019, và vận dụng tối đa các kỹ thuật lừa đảo để lừa người nhận mở email tải về mã độc vào máy họ.

Cụ thể, nhóm tin tặc này có tên Rancor, đã triển khai chiến dịch thông qua các tài liệu độc được gửi từ các địa chỉ email thật của các quan chức chính phủ. Các mục tiêu bị nhắm đến chủ yếu là các cơ quan chính phủ, đại sứ quán và các tổ chức liên quan đến chính phủ tại khu vực Đông Nam Á, Check Point cho biết.

Rancor lần đầu tiên bị phát hiện và báo cáo bởi Đơn vị 42 của hãng bảo mật Palo Alto Networks vào tháng 7/2018. Trong báo cáo, Rancor bị cho là thủ phạm đứng sau các cuộc tấn công gián điệp mạng chống lại Singapore và Campuchia bằng cách sử dụng tin nhắn lừa đảo có đính kèm tập tin độc hại, bao gồm tập tin Microsoft Excel nhúng macro và các ứng dụng HTML.

Phương thức tấn công Đông Nam Á của nhóm này cho thấy những nỗ lực tương đồng của nhóm với Thrip (Lotus Blossom), một nhóm tin tặc đang tích cực hoạt động và được nhà nước bảo trợ, chuyên nhắm mục tiêu chủ yếu vào ngành quốc phòng, truyền thông trong khu vực Đông Nam Á.

Một chiến dịch dai dẳng và có quy mô lớn

Rancor tiếp tục sử dụng đa dạng các loại tài liệu mồi nhử – thư chính thức, thông cáo báo chí và khảo sát – để cài đặt mã độc vào máy nạn nhân và không thay đổi thủ thuật này trong mọi chiến dịch.

Tuy nhiên, nhóm này lại liên tục thay đổi chiến thuật, kỹ thuật và quy trình (TTP), bao gồm các macro, JavaScript, lỗ hổng trong Microsoft Equation Editor và thậm chí các chương trình antivirus, để phân phối mã độc.

Tổng cộng, Check Point đã quan sát 8 làn sóng hoạt động Rancor khác nhau trong 07 tháng hoạt động.

Ai đứng sau nhóm này?

Các nhà nghiên cứu của Check Point cho biết ứng dụng khai thác lỗ hổng Equation Editor (CVE-2018-0798) và việc các máy chủ C&C của nhóm chỉ hoạt động trong khoảng thời gian từ 01:00 đến 08:00 UTC cho thấy nhóm tin tặc này nằm ở Trung Quốc.

Trong khi đó, vào tháng 07/2019, hãng bảo mật Anomali Labs cũng phát hành báo cáo chỉ ra nhiều nhóm tin tặc Trung Quốc đã cập nhật vũ khí của họ để khai thác lỗ hổng Microsoft Equation Editor (EE) – CVE-2018-0798 – vào cuối năm 2018.

Check Point nêu rõ, nguồn gốc Trung Quốc của nhóm này cũng có thể được chứng minh thông qua sự hiện diện của dữ liệu đặc tả viết bằng tiếng Trung trong một số tài liệu, thêm vào đó, chiến dịch không hoạt động trong tháng 2/2019, tháng của Tết Nguyên đán và Lễ hội mùa xuân ở Trung Quốc.

Các nhà nghiên cứu kết luận: “nhóm này sẽ tiếp tục mở rộng, thay đổi chiến thuật của họ theo cách tương tự như chúng tôi đã quan sát trong suốt chiến dịch, cũng như thúc đẩy nỗ lực của họ để vượt qua các hệ thống bảo mật và tránh bị quy kết”.

(Nguồn: The Next Web)

https://thenextweb.com/security/2019/10/02/chinese-hacking-group-targets-southeast-asian-governments-with-data-stealing-malware/

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên