Các nhóm tin tặc nhắm mạnh vào Đông Nam Á và Hàn Quốc

0 Thanh Niên Online
Báo cáo bảo mật quý 3/2019 từ Kaspersky cho biết các nhóm hacker đến từ Hàn Quốc đang nhắm vào các tổ chức khác nhau, tạo ra nhiều mối đe dọa tại khu vực bán đảo Triều Tiên và Đông Nam Á.
Các nhóm APT nói tiếng Hàn vẫn xem Đông Nam Á và Hàn Quốc là mục tiêu hàng đầu  /// Ảnh: Reuters Các nhóm APT nói tiếng Hàn vẫn xem Đông Nam Á và Hàn Quốc là mục tiêu hàng đầu - Ảnh: Reuters
Các nhóm APT nói tiếng Hàn vẫn xem Đông Nam Á và Hàn Quốc là mục tiêu hàng đầu
Ảnh: Reuters
Sau khi hợp tác chặt chẽ với Đội phản ứng khẩn cấp cộng đồng (CERT) Hàn Quốc để vô hiệu hóa máy chủ của hacker, Kaspersky đã điều tra mã độc mới có mối quan hệ với KONNI - một chủng mã độc Windows đã được sử dụng trong quá khứ để nhắm mục tiêu vào một tổ chức nhân quyền và cá nhân có mối quan tâm đến các vấn đề trên bán đảo Triều Tiên.
Mã độc này cũng được biết đến với việc nhắm mục tiêu vào tiền điện tử bằng cách triển khai đầy đủ các tính năng để kiểm soát thiết bị Android bị nhiễm độc cũng như đánh cắp tiền điện tử cá nhân khi người dùng sử dụng các tính năng này.
Kaspersky cũng đã theo dõi BlueNoroff, tập đoàn tài chính của nhóm APT khét tiếng Lazarus, gây lây nhiễm cho một ngân hàng ở Myanmar trong quý 3. Với cảnh báo kịp thời, Kaspersky đã gửi tới ngân hàng và các nhà nghiên cứu liên quan những thông tin giá trị về phương thức những kẻ tấn công truy cập máy chủ sử dụng.
Kaspersky cũng phát hiện ra các chiến thuật mà BlueNoroff thực hiện để tránh bị phát hiện như sử dụng và liên tục thay đổi tập lệnh Powershell, cũng như sử dụng phần mềm độc hại rất tinh vi có thể hoạt động như backdoor thụ động hoặc chủ động, hoặc thậm chí là một công cụ tunnel, tùy thuộc vào tham số dòng lệnh.
Một nhóm phụ khác của Lazarus, Andariel APT, đã tiến hành những nỗ lực mới để xây dựng cơ sở hạ tầng C2 nhắm vào máy chủ Weblogic thông qua hoạt động khai thác CVE-2017-10271. Qua đó, những kẻ tấn công đã thành công trong việc cấy mã độc vào chữ ký hợp pháp thuộc sự quản lý của một nhà cung cấp phần mềm bảo mật Hàn Quốc. Chữ ký chứa mã độc đã bị thu hồi nhờ phản ứng nhanh của CERT Hàn Quốc.
Andariel APT cũng đang sử dụng một loại cửa hậu hoàn toàn mới được gọi là ApolloZeus. Cửa hậu phức tạp và kín đáo này sử dụng shellcode tương đối lớn để khiến việc phân tích trở nên khó khăn hơn. Theo Kaspersky, tấn công của Andariel nằm trong giai đoạn chuẩn bị cho một chiến dịch mới sẽ diễn ra.
Bên cạnh các nhóm APT nói tiếng Hàn đang hoạt động, Kaspersky cũng nhận thấy một chiến dịch sử dụng mã độc được FireEye gọi là DADJOKE với mục đích săn lùng thông tin tình báo tại khu vực Đông Nam Á.
Các nhà nghiên cứu đã theo dõi việc sử dụng phần mềm độc hại này trong một số ít chiến dịch vào đầu năm để chống lại các tổ chức chính phủ, quân đội và ngoại giao ở khu vực Đông Nam Á. Hoạt động mới nhất được phát hiện vào ngày 29.8.2018 liên quan đến một vài cá nhân làm việc cho tổ chức quân sự.

Bình luận

User
Gửi bình luận
Hãy là người đầu tiên đưa ra ý kiến cho bài viết này!

VIDEO ĐANG XEM NHIỀU

Đọc thêm

Minh họa cho thấy bộ theo dõi quang học và camera RGB-D được gắn trên cao sẽ theo dấu các hành vi của robot trong nhà /// Ảnh: Chụp màn hình Techxplore

Hệ thống dự đoán tương lai gần

Theo Techxplore, các nhà khoa học Nhật Bản đã phát triển một hệ thống dự báo những tình huống nguy hiểm có thể xảy ra khi con người và robot chia sẻ không gian sống.