Phát hiện nhóm hacker Trung Quốc triển khai backdoor WinDealer tấn công nhắm vào lưu lượng mạng

www.tuoitre.vn -   13/06/2022 12:00:00 658

Một nhóm tin tặc nâng cao (APT) “cực kỳ tinh vi” nói tiếng Trung Quốc có tên là LuoYu đã được phát hiện sử dụng một công cụ Windows độc hại có tên WinDealer được phát tán bằng các cuộc tấn công man-on-the-side.

Phát hiện nhóm hacker Trung Quốc triển khai backdoor WinDealer tấn công nhắm vào lưu lượng mạng

Công ty an ninh mạng Kaspersky của Nga cho biết trong một báo cáo mới đây rằng: “Sự phát triển đột phá này cho phép tin tặc sửa đổi lưu lượng mạng trong quá trình vận chuyển để chèn mã độc. Các cuộc tấn công như vậy đặc biệt nguy hiểm và tàn khốc vì chúng không yêu cầu bất kỳ tương tác nào với mục tiêu để dẫn đến lây nhiễm thành công”.

Được biết là đã hoạt động từ năm 2008, các tổ chức mà LuoYu nhắm đến chủ yếu là các tổ chức ngoại giao nước ngoài được thành lập tại Trung Quốc và các thành viên của cộng đồng học thuật cũng như các công ty tài chính, quốc phòng, hậu cần và viễn thông.

Việc LuoYu sử dụng WinDealer lần đầu tiên được ghi nhận bởi công ty an ninh mạng Đài Loan TeamT5 tại Hội nghị nhà phân tích bảo mật Nhật Bản (JSAC) vào tháng 1/2021. Các chiến dịch tấn công tiếp theo đã sử dụng phần mềm độc hại này để nhắm vào các mục tiêu ở Nhật Bản, với các trường hợp lây nhiễm biệt lập được báo cáo ở Áo, Đức, Ấn Độ, Nga, và Hoa Kỳ.

Các công cụ nổi bật khác trong kho vũ khí phần mềm độc hại của tin tặc ít được biết đến hơn bao gồm PlugX và kế nhiệm của nó là ShadowPad. Cả hai đều đã được nhiều nhóm tin tặc Trung Quốc sử dụng để thực hiện các mục tiêu chiến lược của họ. Ngoài ra, nhóm này được biết là nhắm vào các thiết bị Linux, macOS và Android.

Phát hiện nhóm hacker Trung Quốc triển khai backdoor WinDealer tấn công nhắm vào lưu lượng mạng

Về phần WinDealer, nó trước đây đã được phát tán thông qua các trang web hoạt động như những lỗ hổng và dưới dạng các ứng dụng bị nhiễm trojan giả mạo thành các dịch vụ lưu trữ video và nhắn tin như Tencent QQ và Youku.

Tuy nhiên, vectơ lây nhiễm kể từ đó đã được thay đổi với một phương thức phát tán khác sử dụng cơ chế cập nhật tự động của các ứng dụng hợp pháp được chọn để phục vụ phiên bản bị nhiễm mã độc trong “vài trường hợp hiếm hoi”.

WinDealer, một nền tảng mã độc mô-đun đi kèm với tất cả các tiện ích thường được thấy ở một cửa hậu truyền thống, cho phép nó thu thập thông tin nhạy cảm, chụp ảnh màn hình và thực hiện các lệnh tùy ý.

Nhưng điểm khác biệt của nó là việc sử dụng một thuật toán tạo IP phức tạp để chọn một máy chủ điều khiển và kiểm soát (C2) để kết nối ngẫu nhiên từ một nhóm gồm 48.000 địa chỉ IP.

Công ty này cho biết: “Cách duy nhất để giải thích những hành vi dường như không tưởng này là giả định về sự tồn tại của một kẻ tấn công trực diện, kẻ có thể chặn tất cả lưu lượng mạng và thậm chí sửa đổi nó nếu cần”.

Một cuộc tấn công man-on-the-side (kẻ bên lề), tương tự như một cuộc tấn công man-in-the-middle (kẻ ở giữa), cho phép hacker đọc và đưa các tin nhắn tùy ý vào một kênh liên lạc, nhưng không thể sửa đổi hoặc xóa các tin nhắn do các bên khác gửi.

Các cuộc tấn công man-on-the-side thường dựa vào việc căn thời gian các tin nhắn của chúng theo cách mà phản hồi độc hại có chứa dữ liệu do kẻ tấn công cung cấp sẽ được gửi theo yêu cầu của nạn nhân về máy chủ web trước phản hồi thực sự từ máy chủ.

Chuyên gia bảo mật Suguru Ishimaru cho biết: “Các cuộc tấn công man-on-the-side là cực kỳ tàn khốc vì điều kiện duy nhất cần thiết để tấn công một thiết bị là thiết bị có kết nối với internet”.

“Bất kể cuộc tấn công được thực hiện như thế nào, cách duy nhất để các nạn nhân tiềm năng tự vệ là phải hết sức cảnh giác và có các quy trình bảo mật mạnh mẽ, chẳng hạn như quét vi-rút thường xuyên, phân tích lưu lượng mạng chiều ra và theo dõi nhật ký sát sao để phát hiện các điểm bất thường”.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Các cuộc tấn công ransomware tiếp tục nh...

21/11/2024 08:00:00 402
Từ tháng 1 đến tháng 6 năm 2024, các giải pháp an ninh mạng cho doanh nghiệp của Kaspersky đã phát h...

Các mối đe dọa an ninh mạng tại Việt Nam...

20/11/2024 08:00:00 424
Dữ liệu mới nhất từ Kaspersky đã gióng lên hồi chuông cảnh báo về tình hình an ninh mạng Việt Nam. C...

Nhóm tin tặc Lazarus khai thác lỗ hổng z...

07/11/2024 08:00:00 354
Tại Hội nghị Chuyên gia Phân tích An ninh mạng (SAS) 2024 diễn ra ở Bali, nhóm Phân tích và Nghiên c...

Lỗ hổng bảo mật khiến kẻ xấu hack hệ thố...

01/11/2024 12:00:00 92
Dạng lỗ hổng này cho phép kẻ tấn công khai thác các thiết bị Synology mà không yêu cầu người dùng mở...

Chiến dịch quảng cáo độc hại chiếm đoạt ...

31/10/2024 08:00:00 88
Các nhà nghiên cứu an ninh mạng đã phát hiện ra một chiến dịch quảng cáo độc hại đang diễn ra, lợi d...

Nghiên cứu mới tiết lộ lỗ hổng Spectre v...

30/10/2024 08:00:00 90
Hơn sáu năm sau khi lỗ hổng bảo mật Spectre ảnh hưởng đến bộ xử lý CPU hiện đại được phát hiện, một ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button