Một cửa hậu bảo mật của tin tặc vừa tìm thấy triển khai trên mạng cơ quan liên bang Mỹ

www.tuoitre.vn -   04/01/2022 12:00:00 154

Những gì được phát hiện là cuộc tấn công được thực hiện trong hai giai đoạn để triển khai hai mã nhị phân độc hại, giai đoạn đầu tiên có khả năng cho phép kẻ tấn công không xác định chặn lưu lượng truy cập internet và thực thi code do họ chọn, cho phép các nhà khai thác kiểm soát hoàn toàn các hệ thống bị xâm phạm.

Một cửa hậu bảo mật của tin tặc vừa tìm thấy triển khai trên mạng cơ quan liên bang Mỹ

Một ủy ban của chính phủ liên bang Hoa Kỳ liên quan đến các quyền quốc tế đang là mục tiêu mà một cửa hậu nhắm tới. Theo báo cáo, cửa hậu này đã xâm nhập vào mạng nội bộ của cơ quan thông qua một phương pháp được các nhà nghiên cứu cho là “thao tác kiểu ATP cổ điển.”

Một công ty an ninh mạng cho biết: “Cuộc tấn công này có thể dẫn đến khả năng hiển thị toàn bộ mạng và kiểm soát hoàn toàn hệ thống và do đó có thể đóng vai trò như bước đầu tiên trong một cuộc tấn công nhiều giai đoạn để xâm nhập sâu hơn vào mạng này hoặc các mạng khác.”

Tên của cơ quan liên bang đó không được tiết lộ, nhưng theo các báo cáo từ Ars Technica và The Record, đó chính là Ủy ban Tự do Tôn giáo Quốc tế Hoa Kỳ (USCIRF). Ở giai đoạn này, chỉ phát hiện được một vài manh mối về cuộc tấn công, vẫn còn nhiều ẩn số liên quan đến bản chất của vectơ truy cập ban đầu được sử dụng để xâm phạm mạng, chuỗi các hành động sau khai thác của kẻ tấn công và tác động tổng thể của sự xâm phạm.

Một cửa hậu bảo mật của tin tặc vừa tìm thấy triển khai trên mạng cơ quan liên bang Mỹ

Những gì được phát hiện là cuộc tấn công được thực hiện trong hai giai đoạn để triển khai hai mã nhị phân độc hại, giai đoạn đầu tiên có khả năng cho phép kẻ tấn công không xác định chặn lưu lượng truy cập internet và thực thi code do họ chọn, cho phép các nhà khai thác kiểm soát hoàn toàn các hệ thống bị xâm phạm. Để làm được điều đó, tin tặc đã lạm dụng WinDivert, một tiện ích thu thập gói hợp pháp của Windows.

Đáng chú ý là cả hai mẫu giả dạng một thư viện Oracle có tên “oci.dll“, trình giải mã giai đoạn hai được triển khai trong cuộc tấn công được phát hiện có chung điểm tương đồng với một tệp thực thi khác được các nhà nghiên cứu bảo mật khác công bố vào năm 2018. Nội dung công bố đã đào sâu vào một cuộc tấn công vào chuỗi cung ứng để đánh cắp thông tin được mệnh danh là “Chiến dịch Chữ ký Đỏ” nhằm vào các tổ chức ở Hàn Quốc. Sự trùng lặp này đã dấy lên nghi ngờ rằng những kẻ tấn công đã có quyền truy cập vào mã nguồn sau này.

Các nhà nghiên cứu cho biết: “Có thể cho rằng một số hình thức thu thập và lọc dữ liệu của lưu lượng mạng đã xảy ra, nhưng đó là suy đoán đã được thông báo từ trước. Điều đó cho thấy, chúng tôi không có cách nào để biết chắc chắn về quy mô và phạm vi của cuộc tấn công này ngoài những gì chúng tôi đã thấy.”

Theo The Hacker News

TIN CÙNG CHUYÊN MỤC

Các nhà nghiên cứu tiết lộ các lỗ hổng b...

07/05/2022 08:00:00 198
Hai lỗ hổng bảo mật mức độ nghiêm trọng cao, không bị phát hiện trong vài năm, đã được phát hiện tro...

Google phát hành bản cập nhật Android để...

06/05/2022 08:00:00 151
Google đã phát hành các bản vá bảo mật hàng tháng cho Android với các bản sửa lỗi cho 37 lỗ hổng trê...

Google sẽ thêm hỗ trợ xác thực không cần...

05/05/2022 08:00:00 155
Google hôm nay đã công bố kế hoạch triển khai hỗ trợ đăng nhập không cần mật khẩu trong Android và t...

Cảnh báo mã độc phát tán qua các bản cập...

29/04/2022 12:00:00 219
Những bản cập nhật độc hại này đang được lan truyền không giới hạn qua các trang web lậu, giả mạo.

Đã có thể yêu cầu Google xóa dữ liệu cá ...

28/04/2022 12:00:00 140
Dữ liệu này bao gồm số điện thoại, địa chỉ email và một số thông tin nhận dạng cá nhân khác.. Tất cả...

Trình duyệt Google Chrome vẫn luôn đứng ...

27/04/2022 12:00:00 168
Trong khi Chrome tuy vẫn là cái tên thống trị, nhưng đã ghi nhận sự sụt giảm nhẹ trong thị phần.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ