Sau khi hợp tác chặt chẽ với Đội phản ứng khẩn cấp cộng đồng (CERT) Hàn Quốc để vô hiệu hóa máy chủ của hacker, Kaspersky đã điều tra mã độc mới có mối quan hệ với KONNI - một chủng mã độc Windows đã được sử dụng trong quá khứ để nhắm mục tiêu vào một tổ chức nhân quyền và cá nhân có mối quan tâm đến các vấn đề trên bán đảo Triều Tiên.
Mã độc này cũng được biết đến với việc nhắm mục tiêu vào tiền điện tử bằng cách triển khai đầy đủ các tính năng để kiểm soát thiết bị Android bị nhiễm độc cũng như đánh cắp tiền điện tử cá nhân khi người dùng sử dụng các tính năng này.
Kaspersky cũng đã theo dõi BlueNoroff, tập đoàn tài chính của nhóm APT khét tiếng Lazarus, gây lây nhiễm cho một ngân hàng ở Myanmar trong quý 3. Với cảnh báo kịp thời, Kaspersky đã gửi tới ngân hàng và các nhà nghiên cứu liên quan những thông tin giá trị về phương thức những kẻ tấn công truy cập máy chủ sử dụng.
Kaspersky cũng phát hiện ra các chiến thuật mà BlueNoroff thực hiện để tránh bị phát hiện như sử dụng và liên tục thay đổi tập lệnh Powershell, cũng như sử dụng phần mềm độc hại rất tinh vi có thể hoạt động như backdoor thụ động hoặc chủ động, hoặc thậm chí là một công cụ tunnel, tùy thuộc vào tham số dòng lệnh.
Một nhóm phụ khác của Lazarus, Andariel APT, đã tiến hành những nỗ lực mới để xây dựng cơ sở hạ tầng C2 nhắm vào máy chủ Weblogic thông qua hoạt động khai thác CVE-2017-10271. Qua đó, những kẻ tấn công đã thành công trong việc cấy mã độc vào chữ ký hợp pháp thuộc sự quản lý của một nhà cung cấp phần mềm bảo mật Hàn Quốc. Chữ ký chứa mã độc đã bị thu hồi nhờ phản ứng nhanh của CERT Hàn Quốc.
Andariel APT cũng đang sử dụng một loại cửa hậu hoàn toàn mới được gọi là ApolloZeus. Cửa hậu phức tạp và kín đáo này sử dụng shellcode tương đối lớn để khiến việc phân tích trở nên khó khăn hơn. Theo Kaspersky, tấn công của Andariel nằm trong giai đoạn chuẩn bị cho một chiến dịch mới sẽ diễn ra.
Bên cạnh các nhóm APT nói tiếng Hàn đang hoạt động, Kaspersky cũng nhận thấy một chiến dịch sử dụng mã độc được FireEye gọi là DADJOKE với mục đích săn lùng thông tin tình báo tại khu vực Đông Nam Á.
Các nhà nghiên cứu đã theo dõi việc sử dụng phần mềm độc hại này trong một số ít chiến dịch vào đầu năm để chống lại các tổ chức chính phủ, quân đội và ngoại giao ở khu vực Đông Nam Á. Hoạt động mới nhất được phát hiện vào ngày 29.8.2018 liên quan đến một vài cá nhân làm việc cho tổ chức quân sự.
Bình luận (0)