t04ndv
Moderator
-
02/02/2021
-
18
-
85 bài viết
Liên Bang Nga bị tấn công bằng virus Webdav-O của Trung Quốc
Một loạt các nhóm tin tặc được nhà nước bảo trợ từ Trung Quốc có thể đứng sau một chuỗi các cuộc tấn công có chủ đích nhằm vào các cơ quan hành pháp liên bang Nga vào năm 2020.
Nghiên cứu do công ty Group-IB có trụ sở tại Singapore công bố đã đi sâu vào một phần của vi rút máy tính có tên " Webdav-O " đã được phát hiện trong các cuộc xâm nhập, cho thấy những điểm tương đồng giữa công cụ này và loại Trojan phổ biến được gọi là "
“Các APT của Trung Quốc là một trong những cộng đồng hacker đông đảo và hung hãn nhất. "Tin tặc chủ yếu nhắm vào các cơ quan nhà nước, cơ sở công nghiệp, nhà thầu quân sự và viện nghiên cứu. Mục tiêu chính là gián điệp: những kẻ tấn công có quyền truy cập vào dữ liệu bí mật và cố gắng che giấu sự hiện diện của chúng", các nhà nghiên cứu Anastasia Tikhonova và Dmitry Kupin cho biết.
Phần mềm độc hại có tên "Mail-O" cũng được quan sát trong các cuộc tấn công chống lại các cơ quan hành pháp liên bang Nga để truy cập vào dịch vụ đám mây Mail.ru, với SentinelOne liên kết nó với một biến thể của một phần mềm độc hại nổi tiếng khác có tên "PhantomNet" hoặc "SManager" được sử dụng bởi một kẻ đe dọa có tên TA428. (dựa trên một số tiết lộ công khai vào tháng 5 từ Solar JSOC và SentinelOne).
Mục tiêu chính của các tin tặc là xâm phạm hoàn toàn cơ sở hạ tầng CNTT và đánh cắp thông tin bí mật, bao gồm tài liệu từ các phân đoạn đã đóng và thư từ email của các cơ quan hành pháp liên bang quan trọng", Solar JSOC lưu ý: việc sử dụng các tiện ích hợp pháp, phần mềm độc hại không thể phát hiện và hiểu biết sâu sắc về các chi tiết cụ thể về công việc của các công cụ bảo vệ thông tin được cài đặt trong các cơ quan chính phủ ".
Phân tích của Group-IB tập trung vào một mẫu Webdav-O đã được tải lên VirusTotal vào tháng 11 năm 2019 và sự trùng lặp mà nó chia sẻ với mẫu phần mềm độc hại được Solar JSOC trình bày chi tiết, với các nhà nghiên cứu nhận thấy sau này là một phiên bản mới hơn, một phần ứng biến có các tính năng bổ sung. Mẫu Webdav-O được phát hiện cũng đã được liên kết với trojan BlueTraveller.
Hơn nữa, bộ công cụ của TA428 đã tiết lộ nhiều điểm tương đồng giữa BlueTraveller và một chủng phần mềm độc hại mới ra đời có tên "Albaniiutas" được cho là tác nhân gây ra mối đe dọa vào tháng 12 năm 2020, cho rằng Albaniiutas không chỉ là một biến thể cập nhật của BlueTraveller mà còn cả Webdav -O phần mềm độc hại là một phiên bản của BlueTraveller.
“Đáng chú ý là các nhóm hacker Trung Quốc tích cực trao đổi các công cụ và cơ sở hạ tầng, nhưng có lẽ sự việc mới xảy ra ở đây”. "Điều này có nghĩa là một Trojan có thể được cấu hình và sửa đổi bởi tin tặc từ các bộ phận khác nhau với các cấp độ đào tạo khác nhau và với nhiều mục tiêu khác nhau. nhóm hacker được tạo thành từ các đơn vị khác nhau".
Nghiên cứu do công ty Group-IB có trụ sở tại Singapore công bố đã đi sâu vào một phần của vi rút máy tính có tên " Webdav-O " đã được phát hiện trong các cuộc xâm nhập, cho thấy những điểm tương đồng giữa công cụ này và loại Trojan phổ biến được gọi là "
BlueTraveller
", có liên hệ với một nhóm tin tặc của Trung Quốc có tên là TaskMasters và với mục đích gián điệp và cướp đoạt tài liệu mật.
Phần mềm độc hại có tên "Mail-O" cũng được quan sát trong các cuộc tấn công chống lại các cơ quan hành pháp liên bang Nga để truy cập vào dịch vụ đám mây Mail.ru, với SentinelOne liên kết nó với một biến thể của một phần mềm độc hại nổi tiếng khác có tên "PhantomNet" hoặc "SManager" được sử dụng bởi một kẻ đe dọa có tên TA428. (dựa trên một số tiết lộ công khai vào tháng 5 từ Solar JSOC và SentinelOne).
Phân tích của Group-IB tập trung vào một mẫu Webdav-O đã được tải lên VirusTotal vào tháng 11 năm 2019 và sự trùng lặp mà nó chia sẻ với mẫu phần mềm độc hại được Solar JSOC trình bày chi tiết, với các nhà nghiên cứu nhận thấy sau này là một phiên bản mới hơn, một phần ứng biến có các tính năng bổ sung. Mẫu Webdav-O được phát hiện cũng đã được liên kết với trojan BlueTraveller.
Hơn nữa, bộ công cụ của TA428 đã tiết lộ nhiều điểm tương đồng giữa BlueTraveller và một chủng phần mềm độc hại mới ra đời có tên "Albaniiutas" được cho là tác nhân gây ra mối đe dọa vào tháng 12 năm 2020, cho rằng Albaniiutas không chỉ là một biến thể cập nhật của BlueTraveller mà còn cả Webdav -O phần mềm độc hại là một phiên bản của BlueTraveller.
“Đáng chú ý là các nhóm hacker Trung Quốc tích cực trao đổi các công cụ và cơ sở hạ tầng, nhưng có lẽ sự việc mới xảy ra ở đây”. "Điều này có nghĩa là một Trojan có thể được cấu hình và sửa đổi bởi tin tặc từ các bộ phận khác nhau với các cấp độ đào tạo khác nhau và với nhiều mục tiêu khác nhau. nhóm hacker được tạo thành từ các đơn vị khác nhau".
Theo The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: