Hơn một ngàn cuộc tấn công mạng đã được hacker SideWinder tiến hành trong 2 năm qua

www.tuoitre.vn -   08/06/2022 12:00:00 332

Một nhóm tin tặc “hung hăng” tấn công có chủ đích (APT) mang tên SideWinder có liên quan đến hơn 1.000 cuộc tấn công mới kể từ tháng 4 năm 2020.

Hơn một ngàn cuộc tấn công mạng đã được hacker SideWinder tiến hành trong 2 năm qua

Công ty an ninh mạng Kaspersky cho biết trong một báo cáo được trình bày tại Black Hat Asia vào tháng này rằng: “Một số đặc điểm chính của tin tặc gây ra mối đe dọa này khiến cho nó nổi bật so với những kẻ khác, đó là số lượng tuyệt đối, tần suất cao và sự dai dẳng của các cuộc tấn công cũng như bộ sưu tập lớn các mã độc được mã hóa được sử dụng trong hoạt động của chúng”.

SideWinder, hay còn được gọi là Rattlesnake hoặc T-APT-04, được cho là đã hoạt động ít nhất từ ​​năm 2012 với tiền sử nhắm vào các công ty quân sự, quốc phòng, hàng không, CNTT và các công ty luật ở các nước Trung Á như Afghanistan, Bangladesh, Nepal và Pakistan.

Báo cáo xu hướng APT của Kaspersky cho Quý 1/2022 được công bố vào cuối tháng 4 tiết lộ rằng tin tặc đang tích cực mở rộng mục tiêu ra bên ngoài các nạn nhân truyền thống sang các quốc gia và khu vực khác, bao gồm cả Singapore.

SideWinder bị phát hiện cũng đang lợi dụng cuộc chiến tranh Nga-Ukraine đang diễn ra để làm mồi nhử trong các chiến dịch lừa đảo phishing nhằm phát tán mã độc và đánh cắp thông tin nhạy cảm.

Chuỗi lây nhiễm tập thể đáng chú ý là đã kết hợp các tài liệu bị nhiễm mã độc lợi dụng lỗ hổng code từ xa trong thành phần Equation Editor của Microsoft Office (CVE-2017-11882) để phát tán mã độc trên các hệ thống bị xâm nhập.

Hơn một ngàn cuộc tấn công mạng đã được hacker SideWinder tiến hành trong 2 năm qua

Ngoài ra, bộ công cụ của SideWinder sử dụng một số quy trình giải mã phức tạp, mã hóa bằng các khóa độc nhất cho mỗi file độc hại, malware nhiều lớp và chia các chuỗi cơ sở hạ tầng ra lệnh và kiểm soát (C2) thành các thành phần malware khác nhau.

Trình tự lây nhiễm ba giai đoạn bắt đầu với việc các tài liệu giả mạo tải một ứng dụng HTML (HTA), sau đó tải một mô-đun dựa trên .NET để cài đặt thành phần HTA giai đoạn hai được thiết kế để triển khai trình cài đặt dựa trên .NET.

Trình cài đặt này trong giai đoạn tiếp theo chịu trách nhiệm thiết lập tính ổn định trên máy chủ và tải cửa sau cuối cùng vào bộ nhớ. Về phần mình, mã đọc có khả năng thu thập các file cũng như thông tin hệ thống.

Không dưới 400 tên miền và tên miền phụ đã được hacker sử dụng trong hai năm qua. Để thêm một lớp che giấu bổ sung, các URL được sử dụng cho miền C2 được chia thành hai phần. Phần đầu tiên được bao gồm trong trình cài đặt .NET và phần sau được mã hóa bên trong mô-đun HTA giai đoạn hai.

Noushin Shabab của Kaspersky cho biết: “Kẻ gây ra mối đe dọa này có mức độ tinh vi tương đối cao bằng cách sử dụng các vectơ lây nhiễm khác nhau và các kỹ thuật tấn công tiên tiến”. Ông cũng đồng thời kêu gọi các tổ chức sử dụng các phiên bản cập nhật mới nhất của Microsoft Office để giảm thiểu các cuộc tấn công như vậy.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Microsoft kêu gọi khách hàng bảo mật máy...

31/01/2023 08:00:00 26
Microsoft đang kêu gọi khách hàng cập nhật máy chủ Exchange của họ cũng như thực hiện các bước để củ...

Hơn 134 triệu lượt tấn công các thiết bị...

30/01/2023 08:00:00 27
Các nhà nghiên cứu bảo mật đang cảnh báo về sự gia tăng đột biến các nỗ lực khai thác tấn công lỗ hổ...

Apple phát hành các bản cập nhật cho các...

26/01/2023 08:00:00 23
Apple đã đưa ra các bản sửa lỗi cho một lỗ hổng bảo mật nghiêm trọng được tiết lộ gần đây ảnh hưởng ...

Facebook giới thiệu các tính năng mới ch...

25/01/2023 08:00:00 23
Nền tảng Meta vào thứ Hai đã thông báo rằng họ đã bắt đầu mở rộng thử nghiệm toàn cầu về mã hóa đầu ...

Mã độc Emotet trở lại và lợi hại hơn xưa

24/01/2023 08:00:00 24
Mã độc Emotet đã được tiếp tục tinh chỉnh chiến thuật và trở nên lợi hại hơn khi vượt qua tầm kiểm s...

Cửa hàng ứng dụng Samsung Galaxy Store b...

23/01/2023 08:00:00 28
Hai lỗ hổng bảo mật đã được tiết lộ trong ứng dụng Galaxy Store của Samsung dành cho Android có thể ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ