Ginny Hà
VIP Members
-
04/06/2014
-
88
-
689 bài viết
Nhóm tin tặc StrongPity nhắm tới người dùng phần mềm mã hóa dữ liệu
Nhóm APT có tên StrongPity đã nỗ lực rất nhiều trong một chiến dịch gần đây, nhắm tới người dùng phần mềm mã hóa như TrueCrypt và WinRAR.
Các chuyên gia cho biết nhóm đã hoạt động tích cực trong những năm qua, chủ yếu khai thác lỗ hổng zero-day để xâm nhập hệ thống mục tiêu và theo dõi người dùng và các hoạt động của họ.
Các cuộc tấn công gần đây nhất được phát hiện vào mùa hè năm nay với các kỹ thuật mới mà nhóm chưa từng sử dụng trước đó.
Nhắm tới người dùng sử dụng phần mềm mã hóa
Các chuyên gia Kaspersky cho biết nhóm sử dụng hình thức tấn công watering hole và kèm mã độc vào bộ cài đặt phần mềm để xâm nhập máy tính người dùng sử dụng phần mềm mã hóa.
Nhóm đã nhắm tới hai phần mềm mã hóa trong các cuộc tấn công khác nhau. Đầu tiên là WinRAR - gói phần mềm nổi tiếng với khả năng lưu trữ dữ liệu, nhưng cũng đi kèm với tính năng mã hóa dữ liệu bằng cách sử dụng thuật toán AES và mã hóa trong một tập tin RAR được bảo vệ bởi mật khẩu.
Thứ hai là TrueCrypt, một tiện ích mã hóa toàn bộ ổ đĩa, khóa các tập tin trên ổ cứng. Gói phần mềm này rất phổ biến cách đây hai năm, nhưng hầu hết người dùng đã thôi sử dụng sau khi nhà phát triển phần mềm cho biết nó không an toàn và yêu cầu người dùng sử dụng các tiện ích khác để thay thế.
Bằng cách nhắm tới người dùng 2 phần mềm này, StrongPity đang cố gắng xâm nhập những người dùng mà nhóm không thể “chạm vào” trước đó do thực tế họ rất có ý thức bảo vệ dữ liệu của mình.
Lừa website hợp pháp chuyển hướng người dùng đến phần mềm độc hại
Theo các chuyên gia, StrongPity đã đăng ký tên miền ralrab.com “na ná” như trang rarlab.com chính thức, kênh mà WinRAR phân phối phần mềm của mình.
Sử dụng miền giả này nhóm APT sẽ lừa các quản trị trang winrar.be chuyển hướng tới phiên bản chứa mã độc của WinRAR trên ralrab.com, thay vì trang chính thức. Phiên bản giả của WinRAR chứa trojan backdoor, cho phép StrongPity theo dõi bất kỳ ai cài đặt gói nhiễm độc này.
Nhóm tin tặc thực hiện tương tự với trang winrar.it, nhưng thay vì chuyển hướng đến ralrab.com, nhóm lừa winrar.it host một tập tin độc hại.
Hai vụ xâm nhập này diễn ra vào tháng 5/2016, nhưng nhóm tin tặc không dừng lại ở đó. Tháng 9 vừa qua, StrongPity lừa quản trị của trang web tải phần mềm Tamindir chuyển hướng người dùng muốn cài đặt phần mềm TrueCrypt tới trang true-crypt.com được điều khiển bới tin tặc.
Cũng giống như với WinRAR, phiên bản TrueCrypt trên trang này chứa một trojan backdoor cho phép hacker truy cập vào hệ thống, lấy cắp hoặc can thiệp vào dữ liệu của người dùng.
Bởi các trojan đã được “gói” trong các bộ cài WinRAR và TrueCrypt, tin tặc có quyền truy cập vào dữ liệu đã được mã hóa – điều mà trước đây không thể thực hiện được.
Theo các chuyên gia, các cuộc tấn công nhắm tới người dùng ở Ý, Thổ Nhĩ Kỳ, Bỉ, Algeria và Pháp. Tuy nhiên, dấu vết của backdoor trojan StrongPity đã được phát hiện trên khắp châu Âu, châu Phi và Trung Đông. Các nhà nghiên cứu cho biết, hơn 1.000 hệ thống có vẻ đã bị ảnh hưởng trong các cuộc tấn công gần đây của StrongPity.
Các chuyên gia cho biết nhóm đã hoạt động tích cực trong những năm qua, chủ yếu khai thác lỗ hổng zero-day để xâm nhập hệ thống mục tiêu và theo dõi người dùng và các hoạt động của họ.
Các cuộc tấn công gần đây nhất được phát hiện vào mùa hè năm nay với các kỹ thuật mới mà nhóm chưa từng sử dụng trước đó.
Nhắm tới người dùng sử dụng phần mềm mã hóa
Các chuyên gia Kaspersky cho biết nhóm sử dụng hình thức tấn công watering hole và kèm mã độc vào bộ cài đặt phần mềm để xâm nhập máy tính người dùng sử dụng phần mềm mã hóa.
Nhóm đã nhắm tới hai phần mềm mã hóa trong các cuộc tấn công khác nhau. Đầu tiên là WinRAR - gói phần mềm nổi tiếng với khả năng lưu trữ dữ liệu, nhưng cũng đi kèm với tính năng mã hóa dữ liệu bằng cách sử dụng thuật toán AES và mã hóa trong một tập tin RAR được bảo vệ bởi mật khẩu.
Thứ hai là TrueCrypt, một tiện ích mã hóa toàn bộ ổ đĩa, khóa các tập tin trên ổ cứng. Gói phần mềm này rất phổ biến cách đây hai năm, nhưng hầu hết người dùng đã thôi sử dụng sau khi nhà phát triển phần mềm cho biết nó không an toàn và yêu cầu người dùng sử dụng các tiện ích khác để thay thế.
Bằng cách nhắm tới người dùng 2 phần mềm này, StrongPity đang cố gắng xâm nhập những người dùng mà nhóm không thể “chạm vào” trước đó do thực tế họ rất có ý thức bảo vệ dữ liệu của mình.
Lừa website hợp pháp chuyển hướng người dùng đến phần mềm độc hại
Theo các chuyên gia, StrongPity đã đăng ký tên miền ralrab.com “na ná” như trang rarlab.com chính thức, kênh mà WinRAR phân phối phần mềm của mình.
Sử dụng miền giả này nhóm APT sẽ lừa các quản trị trang winrar.be chuyển hướng tới phiên bản chứa mã độc của WinRAR trên ralrab.com, thay vì trang chính thức. Phiên bản giả của WinRAR chứa trojan backdoor, cho phép StrongPity theo dõi bất kỳ ai cài đặt gói nhiễm độc này.
Nhóm tin tặc thực hiện tương tự với trang winrar.it, nhưng thay vì chuyển hướng đến ralrab.com, nhóm lừa winrar.it host một tập tin độc hại.
Hai vụ xâm nhập này diễn ra vào tháng 5/2016, nhưng nhóm tin tặc không dừng lại ở đó. Tháng 9 vừa qua, StrongPity lừa quản trị của trang web tải phần mềm Tamindir chuyển hướng người dùng muốn cài đặt phần mềm TrueCrypt tới trang true-crypt.com được điều khiển bới tin tặc.
Cũng giống như với WinRAR, phiên bản TrueCrypt trên trang này chứa một trojan backdoor cho phép hacker truy cập vào hệ thống, lấy cắp hoặc can thiệp vào dữ liệu của người dùng.
Bởi các trojan đã được “gói” trong các bộ cài WinRAR và TrueCrypt, tin tặc có quyền truy cập vào dữ liệu đã được mã hóa – điều mà trước đây không thể thực hiện được.
Theo các chuyên gia, các cuộc tấn công nhắm tới người dùng ở Ý, Thổ Nhĩ Kỳ, Bỉ, Algeria và Pháp. Tuy nhiên, dấu vết của backdoor trojan StrongPity đã được phát hiện trên khắp châu Âu, châu Phi và Trung Đông. Các nhà nghiên cứu cho biết, hơn 1.000 hệ thống có vẻ đã bị ảnh hưởng trong các cuộc tấn công gần đây của StrongPity.
Nguồn: Softpedia