Phát hiện nhóm hacker Trung Quốc triển khai backdoor WinDealer tấn công nhắm vào lưu lượng mạng

www.tuoitre.vn -   13/06/2022 12:00:00 290

Một nhóm tin tặc nâng cao (APT) “cực kỳ tinh vi” nói tiếng Trung Quốc có tên là LuoYu đã được phát hiện sử dụng một công cụ Windows độc hại có tên WinDealer được phát tán bằng các cuộc tấn công man-on-the-side.

Phát hiện nhóm hacker Trung Quốc triển khai backdoor WinDealer tấn công nhắm vào lưu lượng mạng

Công ty an ninh mạng Kaspersky của Nga cho biết trong một báo cáo mới đây rằng: “Sự phát triển đột phá này cho phép tin tặc sửa đổi lưu lượng mạng trong quá trình vận chuyển để chèn mã độc. Các cuộc tấn công như vậy đặc biệt nguy hiểm và tàn khốc vì chúng không yêu cầu bất kỳ tương tác nào với mục tiêu để dẫn đến lây nhiễm thành công”.

Được biết là đã hoạt động từ năm 2008, các tổ chức mà LuoYu nhắm đến chủ yếu là các tổ chức ngoại giao nước ngoài được thành lập tại Trung Quốc và các thành viên của cộng đồng học thuật cũng như các công ty tài chính, quốc phòng, hậu cần và viễn thông.

Việc LuoYu sử dụng WinDealer lần đầu tiên được ghi nhận bởi công ty an ninh mạng Đài Loan TeamT5 tại Hội nghị nhà phân tích bảo mật Nhật Bản (JSAC) vào tháng 1/2021. Các chiến dịch tấn công tiếp theo đã sử dụng phần mềm độc hại này để nhắm vào các mục tiêu ở Nhật Bản, với các trường hợp lây nhiễm biệt lập được báo cáo ở Áo, Đức, Ấn Độ, Nga, và Hoa Kỳ.

Các công cụ nổi bật khác trong kho vũ khí phần mềm độc hại của tin tặc ít được biết đến hơn bao gồm PlugX và kế nhiệm của nó là ShadowPad. Cả hai đều đã được nhiều nhóm tin tặc Trung Quốc sử dụng để thực hiện các mục tiêu chiến lược của họ. Ngoài ra, nhóm này được biết là nhắm vào các thiết bị Linux, macOS và Android.

Phát hiện nhóm hacker Trung Quốc triển khai backdoor WinDealer tấn công nhắm vào lưu lượng mạng

Về phần WinDealer, nó trước đây đã được phát tán thông qua các trang web hoạt động như những lỗ hổng và dưới dạng các ứng dụng bị nhiễm trojan giả mạo thành các dịch vụ lưu trữ video và nhắn tin như Tencent QQ và Youku.

Tuy nhiên, vectơ lây nhiễm kể từ đó đã được thay đổi với một phương thức phát tán khác sử dụng cơ chế cập nhật tự động của các ứng dụng hợp pháp được chọn để phục vụ phiên bản bị nhiễm mã độc trong “vài trường hợp hiếm hoi”.

WinDealer, một nền tảng mã độc mô-đun đi kèm với tất cả các tiện ích thường được thấy ở một cửa hậu truyền thống, cho phép nó thu thập thông tin nhạy cảm, chụp ảnh màn hình và thực hiện các lệnh tùy ý.

Nhưng điểm khác biệt của nó là việc sử dụng một thuật toán tạo IP phức tạp để chọn một máy chủ điều khiển và kiểm soát (C2) để kết nối ngẫu nhiên từ một nhóm gồm 48.000 địa chỉ IP.

Công ty này cho biết: “Cách duy nhất để giải thích những hành vi dường như không tưởng này là giả định về sự tồn tại của một kẻ tấn công trực diện, kẻ có thể chặn tất cả lưu lượng mạng và thậm chí sửa đổi nó nếu cần”.

Một cuộc tấn công man-on-the-side (kẻ bên lề), tương tự như một cuộc tấn công man-in-the-middle (kẻ ở giữa), cho phép hacker đọc và đưa các tin nhắn tùy ý vào một kênh liên lạc, nhưng không thể sửa đổi hoặc xóa các tin nhắn do các bên khác gửi.

Các cuộc tấn công man-on-the-side thường dựa vào việc căn thời gian các tin nhắn của chúng theo cách mà phản hồi độc hại có chứa dữ liệu do kẻ tấn công cung cấp sẽ được gửi theo yêu cầu của nạn nhân về máy chủ web trước phản hồi thực sự từ máy chủ.

Chuyên gia bảo mật Suguru Ishimaru cho biết: “Các cuộc tấn công man-on-the-side là cực kỳ tàn khốc vì điều kiện duy nhất cần thiết để tấn công một thiết bị là thiết bị có kết nối với internet”.

“Bất kể cuộc tấn công được thực hiện như thế nào, cách duy nhất để các nạn nhân tiềm năng tự vệ là phải hết sức cảnh giác và có các quy trình bảo mật mạnh mẽ, chẳng hạn như quét vi-rút thường xuyên, phân tích lưu lượng mạng chiều ra và theo dõi nhật ký sát sao để phát hiện các điểm bất thường”.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Microsoft phát hành bản vá lỗi tháng 1-2...

11/01/2023 08:00:00 152
Các bản sửa lỗi Patch Tuesday đầu tiên do Microsoft cung cấp cho năm 2023 đã xử lý tổng cộng 98 lỗi ...

Hướng dẫn cách xoá lịch sử tìm kiếm trên...

09/01/2023 08:00:00 136
Nếu bạn không muốn ai khác vô tình nhìn thấy lịch sử tìm kiếm của bạn trên Facebook, bạn hoàn toàn c...

Kaspersky công bố người chiến thắng cuộc...

06/01/2023 08:00:00 201
Kaspersky đã tổ chức vòng chung kết của cuộc thi quốc tế dành cho sinh viên Secur'IT Cup. Nhóm sinh ...

Cập nhật ngay bản vá trên chip Qualcomm ...

05/01/2023 08:00:00 126
Qualcomm hôm thứ Ba đã phát hành các bản vá để giải quyết nhiều lỗi bảo mật trong chipset của mình, ...

Editor’s Choice 2022: Kaspersky đoạt giả...

30/12/2022 03:00:00 215
Kaspersky đã nhận được bình chọn cao nhất cho giải thưởng Thương hiệu bảo mật hiệu quả và uy tín nhấ...

Robot nên được sử dụng nhiều hơn trong s...

30/12/2022 08:00:00 240
Một nghiên cứu gần đây của Kaspersky về hệ quả của tự động hóa và việc tăng cường sử dụng robot cho ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ