Một cửa hậu bảo mật của tin tặc vừa tìm thấy triển khai trên mạng cơ quan liên bang Mỹ

www.tuoitre.vn -   04/01/2022 12:00:00 671

Những gì được phát hiện là cuộc tấn công được thực hiện trong hai giai đoạn để triển khai hai mã nhị phân độc hại, giai đoạn đầu tiên có khả năng cho phép kẻ tấn công không xác định chặn lưu lượng truy cập internet và thực thi code do họ chọn, cho phép các nhà khai thác kiểm soát hoàn toàn các hệ thống bị xâm phạm.

Một cửa hậu bảo mật của tin tặc vừa tìm thấy triển khai trên mạng cơ quan liên bang Mỹ

Một ủy ban của chính phủ liên bang Hoa Kỳ liên quan đến các quyền quốc tế đang là mục tiêu mà một cửa hậu nhắm tới. Theo báo cáo, cửa hậu này đã xâm nhập vào mạng nội bộ của cơ quan thông qua một phương pháp được các nhà nghiên cứu cho là “thao tác kiểu ATP cổ điển.”

Một công ty an ninh mạng cho biết: “Cuộc tấn công này có thể dẫn đến khả năng hiển thị toàn bộ mạng và kiểm soát hoàn toàn hệ thống và do đó có thể đóng vai trò như bước đầu tiên trong một cuộc tấn công nhiều giai đoạn để xâm nhập sâu hơn vào mạng này hoặc các mạng khác.”

Tên của cơ quan liên bang đó không được tiết lộ, nhưng theo các báo cáo từ Ars Technica và The Record, đó chính là Ủy ban Tự do Tôn giáo Quốc tế Hoa Kỳ (USCIRF). Ở giai đoạn này, chỉ phát hiện được một vài manh mối về cuộc tấn công, vẫn còn nhiều ẩn số liên quan đến bản chất của vectơ truy cập ban đầu được sử dụng để xâm phạm mạng, chuỗi các hành động sau khai thác của kẻ tấn công và tác động tổng thể của sự xâm phạm.

Một cửa hậu bảo mật của tin tặc vừa tìm thấy triển khai trên mạng cơ quan liên bang Mỹ

Những gì được phát hiện là cuộc tấn công được thực hiện trong hai giai đoạn để triển khai hai mã nhị phân độc hại, giai đoạn đầu tiên có khả năng cho phép kẻ tấn công không xác định chặn lưu lượng truy cập internet và thực thi code do họ chọn, cho phép các nhà khai thác kiểm soát hoàn toàn các hệ thống bị xâm phạm. Để làm được điều đó, tin tặc đã lạm dụng WinDivert, một tiện ích thu thập gói hợp pháp của Windows.

Đáng chú ý là cả hai mẫu giả dạng một thư viện Oracle có tên “oci.dll“, trình giải mã giai đoạn hai được triển khai trong cuộc tấn công được phát hiện có chung điểm tương đồng với một tệp thực thi khác được các nhà nghiên cứu bảo mật khác công bố vào năm 2018. Nội dung công bố đã đào sâu vào một cuộc tấn công vào chuỗi cung ứng để đánh cắp thông tin được mệnh danh là “Chiến dịch Chữ ký Đỏ” nhằm vào các tổ chức ở Hàn Quốc. Sự trùng lặp này đã dấy lên nghi ngờ rằng những kẻ tấn công đã có quyền truy cập vào mã nguồn sau này.

Các nhà nghiên cứu cho biết: “Có thể cho rằng một số hình thức thu thập và lọc dữ liệu của lưu lượng mạng đã xảy ra, nhưng đó là suy đoán đã được thông báo từ trước. Điều đó cho thấy, chúng tôi không có cách nào để biết chắc chắn về quy mô và phạm vi của cuộc tấn công này ngoài những gì chúng tôi đã thấy.”

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Microsoft phát hành bản vá lỗi tháng 1-2...

11/01/2023 08:00:00 152
Các bản sửa lỗi Patch Tuesday đầu tiên do Microsoft cung cấp cho năm 2023 đã xử lý tổng cộng 98 lỗi ...

Hướng dẫn cách xoá lịch sử tìm kiếm trên...

09/01/2023 08:00:00 133
Nếu bạn không muốn ai khác vô tình nhìn thấy lịch sử tìm kiếm của bạn trên Facebook, bạn hoàn toàn c...

Kaspersky công bố người chiến thắng cuộc...

06/01/2023 08:00:00 200
Kaspersky đã tổ chức vòng chung kết của cuộc thi quốc tế dành cho sinh viên Secur'IT Cup. Nhóm sinh ...

Cập nhật ngay bản vá trên chip Qualcomm ...

05/01/2023 08:00:00 123
Qualcomm hôm thứ Ba đã phát hành các bản vá để giải quyết nhiều lỗi bảo mật trong chipset của mình, ...

Editor’s Choice 2022: Kaspersky đoạt giả...

30/12/2022 03:00:00 215
Kaspersky đã nhận được bình chọn cao nhất cho giải thưởng Thương hiệu bảo mật hiệu quả và uy tín nhấ...

Robot nên được sử dụng nhiều hơn trong s...

30/12/2022 08:00:00 240
Một nghiên cứu gần đây của Kaspersky về hệ quả của tự động hóa và việc tăng cường sử dụng robot cho ...
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ