Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Mã độc tấn công nhiều hãng truyền thông tại Hồng Kông ẩn mình sau máy chủ C&C Dropbox
Các chuyên gia vừa phát hiện mã độc tấn công vào các công ty truyền thông tại Hồng Kông. Mã độc này là một dạng backdoor nguy hiểm với hình thức ẩn mình trên máy chủ C&C trong tài khoản Dropbox.
Theo các chuyên gia, chiến dịch có vẻ như là một phần cuộc tấn công được chính phủ Trung Quốc bảo trợ, tiến hành bởi nhóm tin tặc “quen mặt” admin@338.
Trước đây, admin@338 đã từng nhắm tới các tổ chức quốc tế từ tài chính, kinh tế đến các lĩnh vực chính trị thương mại. Nhóm thực hiện chiến dịch tấn công lừa đảo spear phishing, lợi dụng các sự kiện được chú ý để lây nhiễm người dùng với trojan điều khiển từ xa (RAT) như Poison Ivy.
Trong chiến dịch gần đây nhất, admin@338 cũng sử dụng spear phishing, nhưng chỉ nhắm tới một số ít hãng truyền thông tại Hồng Kông. Các mục tiêu ban đầu bao gồm các tờ báo, đài, và kênh truyền hình.
Cuộc tấn công được phát hiện lần đầu vào tháng 8 năm nay, được cho là liên quan đến việc Hồng Kông năm ngoái chống đối sự cai trị của Trung Quốc, cùng với sự khủng hoảng kinh tế Trung Quốc thời gian gần đây.
admin@338 sử dụng email chứa các file .doc độc hại với các chủ đề phản đối Trung Quốc và ủng hộ dân chủ để lừa các nạn nhân mở các file đính kèm.
File word bị biến thành vũ khí do lỗ hổng Microsoft Office CVE-2012-0158, cho phép tin tặc cài đặt mã độc có tên LOWBALL trên máy tính nạn nhân.
LOWBALL là một backdoor nguy hiểm, có thể lấy cắp dữ liệu và tải nó lên một máy chủ từ xa cũng như tải các file mới và thực thi các lệnh shell.
Backdoor LOWBALL sử dụng Dropbox làm máy chủ C&C
Điều khiến mã độc LOWBALL đặc biệt đó là máy chủ C&C không đặt trên máy chủ web online mà tồn tại trong tài khoản Dropbox.
Backdoor gửi các dữ liệu qua các truy vấn mã hóa HTTPS trên cổng 443, đến tài khoản Dropbox đích thông qua sử dụng API chính thức của Dropbox.
Trên máy chủ, với mỗi máy tính bị lây nhiễm, một file BAT tương ứng sẽ được thiết lập, tin tặc có thể cập nhật tập tin này với một số lệnh shell khác nhau. LOWBALL thực thi file BAT trên các thiết bị bị lây nhiễm. Toàn bộ dữ liệu lấy cắp được sẽ được tải lên tập tin Dropbox, tương ứng với mỗi thiết bị bị lây nhiễm.
Ngoài LOWBALL, các chuyên gia cũng phát hiện admin@338 khai thác một backdoor khác là BUBBLEWRAP trong giai đoạn 2 của việc tấn công. Mã độc này có ít hơn đáng kể các tính năng so với LOWBALL và không tích hợp trên Dropbox.
“Mã độc sử dụng trong giai đoạn đầu cuộc tấn công - LOWBALL cho phép tin tặc thu thập thông tin của nạn nhân và sau đó phát tán mã độc 2 - BUBBLEWRAP tới các nạn nhân sau khi xác nhận rằng đó là những mục tiêu thật sự đáng giá”, chuyên gia FireEye cho biết.
Hết đợt tấn công này tới đợt khác
Các chuyên gia đã làm việc với Dropbox để dẹp bỏ cuộc chiến dịch tấn công đầu tiên diễn ra vào tháng 8. Tuy nhiên, gần đây 2 chiến dịch mới đã xuất hiện. Hiện chưa có thông tin về việc liệu chiến dịch đó có do nhóm admin@338 APT thực hiện hay không, cũng như mục tiêu nhắm tới của tin tặc là ai.
Nguồn: Softpedia
Theo các chuyên gia, chiến dịch có vẻ như là một phần cuộc tấn công được chính phủ Trung Quốc bảo trợ, tiến hành bởi nhóm tin tặc “quen mặt” admin@338.
Trước đây, admin@338 đã từng nhắm tới các tổ chức quốc tế từ tài chính, kinh tế đến các lĩnh vực chính trị thương mại. Nhóm thực hiện chiến dịch tấn công lừa đảo spear phishing, lợi dụng các sự kiện được chú ý để lây nhiễm người dùng với trojan điều khiển từ xa (RAT) như Poison Ivy.
Trong chiến dịch gần đây nhất, admin@338 cũng sử dụng spear phishing, nhưng chỉ nhắm tới một số ít hãng truyền thông tại Hồng Kông. Các mục tiêu ban đầu bao gồm các tờ báo, đài, và kênh truyền hình.
Cuộc tấn công được phát hiện lần đầu vào tháng 8 năm nay, được cho là liên quan đến việc Hồng Kông năm ngoái chống đối sự cai trị của Trung Quốc, cùng với sự khủng hoảng kinh tế Trung Quốc thời gian gần đây.
admin@338 sử dụng email chứa các file .doc độc hại với các chủ đề phản đối Trung Quốc và ủng hộ dân chủ để lừa các nạn nhân mở các file đính kèm.
File word bị biến thành vũ khí do lỗ hổng Microsoft Office CVE-2012-0158, cho phép tin tặc cài đặt mã độc có tên LOWBALL trên máy tính nạn nhân.
LOWBALL là một backdoor nguy hiểm, có thể lấy cắp dữ liệu và tải nó lên một máy chủ từ xa cũng như tải các file mới và thực thi các lệnh shell.
Backdoor LOWBALL sử dụng Dropbox làm máy chủ C&C
Điều khiến mã độc LOWBALL đặc biệt đó là máy chủ C&C không đặt trên máy chủ web online mà tồn tại trong tài khoản Dropbox.
Backdoor gửi các dữ liệu qua các truy vấn mã hóa HTTPS trên cổng 443, đến tài khoản Dropbox đích thông qua sử dụng API chính thức của Dropbox.
Trên máy chủ, với mỗi máy tính bị lây nhiễm, một file BAT tương ứng sẽ được thiết lập, tin tặc có thể cập nhật tập tin này với một số lệnh shell khác nhau. LOWBALL thực thi file BAT trên các thiết bị bị lây nhiễm. Toàn bộ dữ liệu lấy cắp được sẽ được tải lên tập tin Dropbox, tương ứng với mỗi thiết bị bị lây nhiễm.
Ngoài LOWBALL, các chuyên gia cũng phát hiện admin@338 khai thác một backdoor khác là BUBBLEWRAP trong giai đoạn 2 của việc tấn công. Mã độc này có ít hơn đáng kể các tính năng so với LOWBALL và không tích hợp trên Dropbox.
“Mã độc sử dụng trong giai đoạn đầu cuộc tấn công - LOWBALL cho phép tin tặc thu thập thông tin của nạn nhân và sau đó phát tán mã độc 2 - BUBBLEWRAP tới các nạn nhân sau khi xác nhận rằng đó là những mục tiêu thật sự đáng giá”, chuyên gia FireEye cho biết.
Hết đợt tấn công này tới đợt khác
Các chuyên gia đã làm việc với Dropbox để dẹp bỏ cuộc chiến dịch tấn công đầu tiên diễn ra vào tháng 8. Tuy nhiên, gần đây 2 chiến dịch mới đã xuất hiện. Hiện chưa có thông tin về việc liệu chiến dịch đó có do nhóm admin@338 APT thực hiện hay không, cũng như mục tiêu nhắm tới của tin tặc là ai.
Nguồn: Softpedia