Các chuyên gia bảo mật tại Kaspersky lần đầu phát hiện dấu vết của chiến dịch này vào tháng 10.2020, đứng sau bởi nhóm tin tặc LuminousMoth. Nhóm này có liên quan tới một tổ chức tin tặc được cho là hậu thuẫn bởi chính phủ Trung Quốc có tên HoneyMyte hay Mustang Panda.
Theo báo cáo, có khoảng 100 nạn nhân của vụ tấn công được xác định tại Myanmar, trong khi con số này tại Philippines tăng vọt tới gần 1.400. Kaspersky cho biết đó mới chỉ là số liệu ban đầu, bao gồm các cơ quan chính phủ đặt trụ sở tại hai quốc gia này hay ở nước ngoài.
Nhà nghiên cứu Mark Lechtik, Paul Rascagnere và Aseel Kayal cho biết mục tiêu của cuộc tấn công là gây ảnh hưởng tới phạm vi rộng các mục tiêu khác nhau, tập trung vào một số hạng mục chiến lược. Nói cách khác, cuộc tấn công này có quy mô rộng nhưng tầm tập trung rất hẹp, tạo điều kiện cho tin tặc rút thông tin tình báo từ các mục tiêu cao cấp (những mục tiêu được xác định là quan trọng đang nắm giữ, sở hữu các thông tin mật).
Tin tặc dùng phương thức gửi các emaillừa đảo trực tuyến tới nạn nhân, trong đó chứa một đường link tải từ kho lưu trữ Dropbox. Khi click vào đó, nạn nhân được chuyển hướng tới một tập tin nén định dạng .rar, đặt tên liên quan tới vấn đề chính trị hay Covid-19, được thiết kế giả như tài liệu Word. Tập tin này ẩn chứa 2 thư viện DLL khả nghi (version.dll và wwlib.dll) có khả năng thực thi phần mềm độc hại trên máy tính nạn nhân.
Sau khi xâm nhập thành công, chuỗi lây nhiễm sẽ phát tán thông qua các USB tới những máy chủ khác nhờ sự trợ giúp của version.dll. Trong khi đó, mục tiêu của wwlib.dll là tải về cảnh báo Cobalt Strike trên hệ thống Windows của máy tính bị nhiễm từ tên miền do kẻ tấn công điều khiển từ xa.
Trong một số trường hợp được Kaspersky ghi nhận, tác nhân tấn công còn triển khai ứng dụng Zoom giả mạo do một tổ chức tại Thượng Hải (Trung Quốc) đăng ký, có chức năng lọc các tập tin được quan tâm cho LumiousMoth. Bất kỳ tập tin nào có phần mở rộng được xác định trước trên máy nạn nhân đều bị sao chép và chuyển đến máy chủ lệnh và kiểm soát (C2). Tin tặc cũng nhòm ngó tới các dữ liệu tạm và xác thực được sử dụng trên trình duyệt Chrome của Google.
Bình luận (0)