Một cửa hậu bảo mật của tin tặc vừa tìm thấy triển khai trên mạng cơ quan liên bang Mỹ

www.tuoitre.vn -   04/01/2022 12:00:00 1069

Những gì được phát hiện là cuộc tấn công được thực hiện trong hai giai đoạn để triển khai hai mã nhị phân độc hại, giai đoạn đầu tiên có khả năng cho phép kẻ tấn công không xác định chặn lưu lượng truy cập internet và thực thi code do họ chọn, cho phép các nhà khai thác kiểm soát hoàn toàn các hệ thống bị xâm phạm.

Một cửa hậu bảo mật của tin tặc vừa tìm thấy triển khai trên mạng cơ quan liên bang Mỹ

Một ủy ban của chính phủ liên bang Hoa Kỳ liên quan đến các quyền quốc tế đang là mục tiêu mà một cửa hậu nhắm tới. Theo báo cáo, cửa hậu này đã xâm nhập vào mạng nội bộ của cơ quan thông qua một phương pháp được các nhà nghiên cứu cho là “thao tác kiểu ATP cổ điển.”

Một công ty an ninh mạng cho biết: “Cuộc tấn công này có thể dẫn đến khả năng hiển thị toàn bộ mạng và kiểm soát hoàn toàn hệ thống và do đó có thể đóng vai trò như bước đầu tiên trong một cuộc tấn công nhiều giai đoạn để xâm nhập sâu hơn vào mạng này hoặc các mạng khác.”

Tên của cơ quan liên bang đó không được tiết lộ, nhưng theo các báo cáo từ Ars Technica và The Record, đó chính là Ủy ban Tự do Tôn giáo Quốc tế Hoa Kỳ (USCIRF). Ở giai đoạn này, chỉ phát hiện được một vài manh mối về cuộc tấn công, vẫn còn nhiều ẩn số liên quan đến bản chất của vectơ truy cập ban đầu được sử dụng để xâm phạm mạng, chuỗi các hành động sau khai thác của kẻ tấn công và tác động tổng thể của sự xâm phạm.

Một cửa hậu bảo mật của tin tặc vừa tìm thấy triển khai trên mạng cơ quan liên bang Mỹ

Những gì được phát hiện là cuộc tấn công được thực hiện trong hai giai đoạn để triển khai hai mã nhị phân độc hại, giai đoạn đầu tiên có khả năng cho phép kẻ tấn công không xác định chặn lưu lượng truy cập internet và thực thi code do họ chọn, cho phép các nhà khai thác kiểm soát hoàn toàn các hệ thống bị xâm phạm. Để làm được điều đó, tin tặc đã lạm dụng WinDivert, một tiện ích thu thập gói hợp pháp của Windows.

Đáng chú ý là cả hai mẫu giả dạng một thư viện Oracle có tên “oci.dll“, trình giải mã giai đoạn hai được triển khai trong cuộc tấn công được phát hiện có chung điểm tương đồng với một tệp thực thi khác được các nhà nghiên cứu bảo mật khác công bố vào năm 2018. Nội dung công bố đã đào sâu vào một cuộc tấn công vào chuỗi cung ứng để đánh cắp thông tin được mệnh danh là “Chiến dịch Chữ ký Đỏ” nhằm vào các tổ chức ở Hàn Quốc. Sự trùng lặp này đã dấy lên nghi ngờ rằng những kẻ tấn công đã có quyền truy cập vào mã nguồn sau này.

Các nhà nghiên cứu cho biết: “Có thể cho rằng một số hình thức thu thập và lọc dữ liệu của lưu lượng mạng đã xảy ra, nhưng đó là suy đoán đã được thông báo từ trước. Điều đó cho thấy, chúng tôi không có cách nào để biết chắc chắn về quy mô và phạm vi của cuộc tấn công này ngoài những gì chúng tôi đã thấy.”

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

1 tiện ích Chrome nhiễm mã độc có 280 tr...

04/02/2025 12:00:00 108
SNE tồn tại lâu nhất lên tới 8,5 năm, được gọi là TeleApp, được cập nhật lần cuối vào ngày 13 tháng ...

Không đảm bảo về bảo mật và kiểm duyệt, ...

04/02/2025 12:00:00 126
DeepSeek đi kèm với nhiều phiền toái và cách kiểm duyệt phản hồi cũng rất khắt khe. Vậy tại sao mọi ...

Ứng dụng AI - DeepSeek bị hack và rò rỉ ...

03/02/2025 12:00:00 113
Không chỉ ghi lại địa chỉ email, IP, lịch sử trò chuyện, DeepSeek còn thu thập những thông tin đáng ...

Router Wi-Fi hiệu TP-Link có thể bị Mỹ c...

03/02/2025 12:00:00 85
Chính phủ nghi ngờ các router TP-Link đang bị Trung Quốc khai thác trong những cuộc tấn công mạng và...

Tính năng tìm kiếm mới trên Windows 11 g...

03/02/2025 12:00:00 47
Microsoft đang tích hợp chức năng tìm kiếm của Google Photos vào OneDrive Photos Windows 11.

Lừa đảo quảng cáo độc hại sử dụng Quảng ...

30/01/2025 08:00:00 48
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại nhắm vào các nhà qu...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ

Zalo Button