Hơn một ngàn cuộc tấn công mạng đã được hacker SideWinder tiến hành trong 2 năm qua

www.tuoitre.vn -   08/06/2022 12:00:00 704

Một nhóm tin tặc “hung hăng” tấn công có chủ đích (APT) mang tên SideWinder có liên quan đến hơn 1.000 cuộc tấn công mới kể từ tháng 4 năm 2020.

Hơn một ngàn cuộc tấn công mạng đã được hacker SideWinder tiến hành trong 2 năm qua

Công ty an ninh mạng Kaspersky cho biết trong một báo cáo được trình bày tại Black Hat Asia vào tháng này rằng: “Một số đặc điểm chính của tin tặc gây ra mối đe dọa này khiến cho nó nổi bật so với những kẻ khác, đó là số lượng tuyệt đối, tần suất cao và sự dai dẳng của các cuộc tấn công cũng như bộ sưu tập lớn các mã độc được mã hóa được sử dụng trong hoạt động của chúng”.

SideWinder, hay còn được gọi là Rattlesnake hoặc T-APT-04, được cho là đã hoạt động ít nhất từ ​​năm 2012 với tiền sử nhắm vào các công ty quân sự, quốc phòng, hàng không, CNTT và các công ty luật ở các nước Trung Á như Afghanistan, Bangladesh, Nepal và Pakistan.

Báo cáo xu hướng APT của Kaspersky cho Quý 1/2022 được công bố vào cuối tháng 4 tiết lộ rằng tin tặc đang tích cực mở rộng mục tiêu ra bên ngoài các nạn nhân truyền thống sang các quốc gia và khu vực khác, bao gồm cả Singapore.

SideWinder bị phát hiện cũng đang lợi dụng cuộc chiến tranh Nga-Ukraine đang diễn ra để làm mồi nhử trong các chiến dịch lừa đảo phishing nhằm phát tán mã độc và đánh cắp thông tin nhạy cảm.

Chuỗi lây nhiễm tập thể đáng chú ý là đã kết hợp các tài liệu bị nhiễm mã độc lợi dụng lỗ hổng code từ xa trong thành phần Equation Editor của Microsoft Office (CVE-2017-11882) để phát tán mã độc trên các hệ thống bị xâm nhập.

Hơn một ngàn cuộc tấn công mạng đã được hacker SideWinder tiến hành trong 2 năm qua

Ngoài ra, bộ công cụ của SideWinder sử dụng một số quy trình giải mã phức tạp, mã hóa bằng các khóa độc nhất cho mỗi file độc hại, malware nhiều lớp và chia các chuỗi cơ sở hạ tầng ra lệnh và kiểm soát (C2) thành các thành phần malware khác nhau.

Trình tự lây nhiễm ba giai đoạn bắt đầu với việc các tài liệu giả mạo tải một ứng dụng HTML (HTA), sau đó tải một mô-đun dựa trên .NET để cài đặt thành phần HTA giai đoạn hai được thiết kế để triển khai trình cài đặt dựa trên .NET.

Trình cài đặt này trong giai đoạn tiếp theo chịu trách nhiệm thiết lập tính ổn định trên máy chủ và tải cửa sau cuối cùng vào bộ nhớ. Về phần mình, mã đọc có khả năng thu thập các file cũng như thông tin hệ thống.

Không dưới 400 tên miền và tên miền phụ đã được hacker sử dụng trong hai năm qua. Để thêm một lớp che giấu bổ sung, các URL được sử dụng cho miền C2 được chia thành hai phần. Phần đầu tiên được bao gồm trong trình cài đặt .NET và phần sau được mã hóa bên trong mô-đun HTA giai đoạn hai.

Noushin Shabab của Kaspersky cho biết: “Kẻ gây ra mối đe dọa này có mức độ tinh vi tương đối cao bằng cách sử dụng các vectơ lây nhiễm khác nhau và các kỹ thuật tấn công tiên tiến”. Ông cũng đồng thời kêu gọi các tổ chức sử dụng các phiên bản cập nhật mới nhất của Microsoft Office để giảm thiểu các cuộc tấn công như vậy.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Đọc nhanh tài liệu Word với tính năng AI...

30/08/2024 12:00:00 34
Một tính năng mới rất hữu ích dành cho người dùng Word, cho phép xử lý các tài liệu dài dễ dàng hơn ...

Google tung bản vá bảo mật khẩn cấp cho ...

29/08/2024 12:00:00 39
Hãykiểm tra xem trình duyệt của mình đã tự động cập nhật lên phiên bản mới nhất chưa bằng cách mở cà...

Phần mềm độc hại Android mới NGate đánh ...

28/08/2024 08:00:00 36
Các nhà nghiên cứu an ninh mạng đã phát hiện ra phần mềm độc hại Android mới có thể chuyển tiếp dữ l...

Thời đại AI lên ngôi, ảnh chụp không hẳn...

28/08/2024 12:00:00 33
Với sự xuất hiện của AI, bất kỳ ai cũng có thể tạo ảnh giả với độ chân thực không kém chuyên gia pho...

Trung tâm siêu dữ liệu đang được Google ...

27/08/2024 12:00:00 29
Lý do khiến Google có thể lựa chọn xây trung tâm dữ liệu tại Việt Nam đến từ việc hãng kiếm được ngà...

Google cảnh báo về lỗ hổng bảo mật CVE-2...

26/08/2024 08:00:00 19
Google đã tiết lộ rằng một lỗ hổng bảo mật đã được vá như một phần của bản cập nhật phần mềm được tu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ