Hơn một ngàn cuộc tấn công mạng đã được hacker SideWinder tiến hành trong 2 năm qua

www.tuoitre.vn -   08/06/2022 12:00:00 663

Một nhóm tin tặc “hung hăng” tấn công có chủ đích (APT) mang tên SideWinder có liên quan đến hơn 1.000 cuộc tấn công mới kể từ tháng 4 năm 2020.

Hơn một ngàn cuộc tấn công mạng đã được hacker SideWinder tiến hành trong 2 năm qua

Công ty an ninh mạng Kaspersky cho biết trong một báo cáo được trình bày tại Black Hat Asia vào tháng này rằng: “Một số đặc điểm chính của tin tặc gây ra mối đe dọa này khiến cho nó nổi bật so với những kẻ khác, đó là số lượng tuyệt đối, tần suất cao và sự dai dẳng của các cuộc tấn công cũng như bộ sưu tập lớn các mã độc được mã hóa được sử dụng trong hoạt động của chúng”.

SideWinder, hay còn được gọi là Rattlesnake hoặc T-APT-04, được cho là đã hoạt động ít nhất từ ​​năm 2012 với tiền sử nhắm vào các công ty quân sự, quốc phòng, hàng không, CNTT và các công ty luật ở các nước Trung Á như Afghanistan, Bangladesh, Nepal và Pakistan.

Báo cáo xu hướng APT của Kaspersky cho Quý 1/2022 được công bố vào cuối tháng 4 tiết lộ rằng tin tặc đang tích cực mở rộng mục tiêu ra bên ngoài các nạn nhân truyền thống sang các quốc gia và khu vực khác, bao gồm cả Singapore.

SideWinder bị phát hiện cũng đang lợi dụng cuộc chiến tranh Nga-Ukraine đang diễn ra để làm mồi nhử trong các chiến dịch lừa đảo phishing nhằm phát tán mã độc và đánh cắp thông tin nhạy cảm.

Chuỗi lây nhiễm tập thể đáng chú ý là đã kết hợp các tài liệu bị nhiễm mã độc lợi dụng lỗ hổng code từ xa trong thành phần Equation Editor của Microsoft Office (CVE-2017-11882) để phát tán mã độc trên các hệ thống bị xâm nhập.

Hơn một ngàn cuộc tấn công mạng đã được hacker SideWinder tiến hành trong 2 năm qua

Ngoài ra, bộ công cụ của SideWinder sử dụng một số quy trình giải mã phức tạp, mã hóa bằng các khóa độc nhất cho mỗi file độc hại, malware nhiều lớp và chia các chuỗi cơ sở hạ tầng ra lệnh và kiểm soát (C2) thành các thành phần malware khác nhau.

Trình tự lây nhiễm ba giai đoạn bắt đầu với việc các tài liệu giả mạo tải một ứng dụng HTML (HTA), sau đó tải một mô-đun dựa trên .NET để cài đặt thành phần HTA giai đoạn hai được thiết kế để triển khai trình cài đặt dựa trên .NET.

Trình cài đặt này trong giai đoạn tiếp theo chịu trách nhiệm thiết lập tính ổn định trên máy chủ và tải cửa sau cuối cùng vào bộ nhớ. Về phần mình, mã đọc có khả năng thu thập các file cũng như thông tin hệ thống.

Không dưới 400 tên miền và tên miền phụ đã được hacker sử dụng trong hai năm qua. Để thêm một lớp che giấu bổ sung, các URL được sử dụng cho miền C2 được chia thành hai phần. Phần đầu tiên được bao gồm trong trình cài đặt .NET và phần sau được mã hóa bên trong mô-đun HTA giai đoạn hai.

Noushin Shabab của Kaspersky cho biết: “Kẻ gây ra mối đe dọa này có mức độ tinh vi tương đối cao bằng cách sử dụng các vectơ lây nhiễm khác nhau và các kỹ thuật tấn công tiên tiến”. Ông cũng đồng thời kêu gọi các tổ chức sử dụng các phiên bản cập nhật mới nhất của Microsoft Office để giảm thiểu các cuộc tấn công như vậy.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Nhiều trang web chống virus giả mạo này ...

31/05/2024 08:00:00 187
Các chuyên gia bảo mật đã quan sát thấy các tác nhân đe dọa sử dụng các trang web giả mạo giả dạng g...

Top mười từ khóa trên Google không nên t...

31/05/2024 12:00:00 158
Dưới đây là những từ khóa được khuyến cáo không nên tìm kiếm trên Google.

Các nhà nghiên cứu phát hiện hoạt động k...

30/05/2024 08:00:00 163
Các nhà nghiên cứu an ninh mạng đã cảnh báo rằng nhiều lỗ hổng bảo mật có mức độ nghiêm trọng cao tr...

Nội dung của người dùng sẽ bị Facebook t...

30/05/2024 12:00:00 152
Nội dung công khai của người dùng – không phải tin nhắn riêng tư – sẽ được Meta sử dụng để đào tạo v...

Microsoft cảnh báo về sự gia tăng các cu...

29/05/2024 08:00:00 145
Microsoft đã nhấn mạnh sự cần thiết phải bảo mật các thiết bị công nghệ vận hành (OT) có kết nối int...

Elon Musk tố dữ liệu người dùng trên Wha...

29/05/2024 12:00:00 85
Elon Musk tuyên bố rằng WhatsApp xuất tất cả dữ liệu người dùng mỗi đêm, vi phạm quyền riêng tư nghi...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ