Cảnh báo RAT tấn công toàn châu Á

Các nhà nghiên cứu về an ninh mạng đang cảnh báo người dùng Internet về một chiến dịch tấn công quy mô lớn chưa từng có, sử dụng các công nghệ và kỹ thuật tinh vi nhằm công kích ngầm vào các chính phủ, các tổ chức trên khắp châu Á.

Phương thức hoạt động của BKDR_RARSTONE. Ảnh: Internet

1 hãng bảo mật đã gọi chiến dịch này là Naikon, dựa vào chuỗi HTTP user-agent mang tên ““NOKIAN95/WEB” được tìm thấy trong những đợt tấn công có chủ đích trên khắp lãnh thổ Ấn Độ, Malaysia, Singapore, Việt Nam và những nơi khác.

Những cuộc tấn công này được thực hiện với cách thức quen thuộc là dùng một email lừa đảo “spear-phishing” mang những thông điệp có liên quan đến các vấn đề ngoại giao ở khu vực Châu Á Thái Bình Dương. Các mục tiêu tấn công nhằm vào từ các chính phủ cho đến phương tiện truyền thông, các tổ chức năng lượng, viễn thông...Tập tin đính kèm email mang mã độc khai thác một lỗ hổng trong Windows Common Controls có tên CVE-2012-0158, từng được sử dụng trong chiến dịch “Safe” được phát hiện bởi các nhà nghiên cứu hồi tháng trước và được cho là có liên quan đến “thế giới ngầm tội phạm mạng ở Trung Quốc”. Khi tập tin đính kèm được mở, nạn nhân chỉ nhìn thấy một “văn bản mồi”, tuy nhiên trong thực tế BKDR_RARSTONE Remote Access Tool (RAT) đang xâm nhập vào hệ thống người dùng.

RAT thực hiện tải thành phần cửa hậu (backdoor) của nó từ một máy chủ C&C trực tiếp vào bộ nhớ, che giấu nó khỏi những phần mềm quét file thông thường. RARSTONE cũng sử dụng SSL để mã hóa việc truyền đạt thông tin giữa nó và máy chủ C&C, điều đó không chỉ giúp bảo vệ kết nối này mà còn giúp nó trà trộn vào lưu lượng truyền tải thông thường. Những kẻ tấn công cũng có ý muốn che giấu những đợt tấn công của mình bằng việc sử dụng các tên miền DNS động hay đăng ký bảo vệ riêng tư.

Vẫn chưa có các phòng chống nguy cơ này

Theo Số hóa