Các nhà nghiên cứu an ninh mạng vừa phát hiện ra một chiến dịch gián điệp mới nhắm vào các lĩnh vực truyền thông, xây dựng, kỹ thuật, điện tử và tài chính ở Nhật Bản, Đài Loan, Mỹ và Trung Quốc.
Sau khi liên kết manh mối từ các cuộc tấn công của nhóm Hacker BlackTech – có thể đây cuộc tấn công có chủ đích (APT) xuất phát từ Trung Quốc – Các chuyên gia của Symantec cho biết làn sóng tấn công hoạt động đầu tiên liên quan đến chiến dịch này đã bắt đầu vào tháng 8 năm 2019, mặc dù động cơ cuối cùng của chiến dịch vẫn chưa rõ mục đích.
BlackTech là một nhóm gián điệp mạng hoạt động và “được tài trợ bởi chính phủ” đã theo đuổi các mục tiêu ở châu Á, nhằm đánh cắp công nghệ và bí mật thương mại của các doanh nghiệp. Các chuyên gia bảo mật đã liên kết BlackTech với ba chiến dịch gián điệp mạng khác nhau , được đặt tên là PLEAD, Shrowded Crossbow và Waterbear.
Công ty an ninh mạng cho biết: “Mặc dù chúng tôi không thể thấy Palmerworm (BlackTech ) đang tấn công những gì từ những nạn nhân này, nhưng nhóm này được coi là một nhóm gián điệp và động cơ có thể đang đánh cắp thông tin từ các công ty mục tiêu”.
Trong số nhiều công ty bị lây nhiễm mã độc Palmerworm, các công ty truyền thông, điện tử và tài chính đều có trụ sở tại Đài Loan, một công ty kỹ thuật ở Nhật Bản và một công ty xây dựng ở Trung Quốc cũng bị nhắm tới.
Ngoài việc sử dụng phần mềm độc hại để xâm nhập các tổ chức, nhóm này được cho là đang hoạt động mang danh nghĩa của công ty truyền thông Đài Loan, với các dấu hiệu liên quan đến vấn đề chính trị giữa Trung Quốc với Đài Loan.
Đây không phải là lần đầu tiên nhóm Hacker BlackTech hoạt động với mục đích tấn công trong lĩnh vực kinh doanh ở Đông Á. Một phân tích năm 2017 của Trend Micro cho thấy nhóm đã tổ chức ba chiến dịch – PLEAD, Shrocted Crossbow và Waterbear – với mục đích đánh cắp tài liệu bí mật và tài sản trí tuệ của nhiều doanh nghiệp lớn.
Một số mẫu phần mềm độc hại được xác định khớp với PLEAD, các nhà nghiên cứu cho biết họ đã xác định được 4 backdoor (Backdoor.Consock, Backdoor.Waship, Backdoor.Dalwit và Backdoor.Nomri). Các Hacker BlackTech đã sử dụng các kỹ thuật hack mới và khác nhau, bao gồm các kỹ thuật cấy ghép backdoor và kỹ thuật lọc dữ liệu nhằm ẩn mình tránh bị phá hiện và theo dõi. Theo các nhà nghiên cứu của Trend Micro, ba chiến dịch đã chứng kiến Hacker sử dụng cùng một máy chủ C&C (chỉ huy và kiểm soát), các công cụ và kỹ thuật giống nhau, điều này cho thấy rằng các chiến dịch “được vận hành bởi cùng một nhóm”.
Chỉ riêng bộ công cụ mã độc giúp hacker đánh cắp các chứng chỉ để chứng thực các file thực thi giúp qua mặt được trình diệt virus, và không bị hệ điều hành cảnh báo không an toàn. Tuy nhiên, trước đây nhóm BlackTech đã tận dụng các email lừa đảo để phát tán và cài đặt backdoor dưới dạng tập tin đính kèm hoặc thông qua các link download trên Internet.
“Các nhóm APT tiếp tục hoạt động mạnh mẽ vào năm 2020, với việc cấy ghép mã độc vào các phần mềm thông dụng (Putty, PSExec, SNScan, và WinRAR) và “chiến thuật sống ngoài đất liền” khiến hoạt động của nhóm sẽ khó bị phát hiện hơn”. Hơn bao giờ hết, doanh nghiệp nên đầu tư khả năng bảo mật để tránh bị rũi ro.
ANV
Sau khi liên kết manh mối từ các cuộc tấn công của nhóm Hacker BlackTech – có thể đây cuộc tấn công có chủ đích (APT) xuất phát từ Trung Quốc – Các chuyên gia của Symantec cho biết làn sóng tấn công hoạt động đầu tiên liên quan đến chiến dịch này đã bắt đầu vào tháng 8 năm 2019, mặc dù động cơ cuối cùng của chiến dịch vẫn chưa rõ mục đích.
BlackTech là một nhóm gián điệp mạng hoạt động và “được tài trợ bởi chính phủ” đã theo đuổi các mục tiêu ở châu Á, nhằm đánh cắp công nghệ và bí mật thương mại của các doanh nghiệp. Các chuyên gia bảo mật đã liên kết BlackTech với ba chiến dịch gián điệp mạng khác nhau , được đặt tên là PLEAD, Shrowded Crossbow và Waterbear.
Công ty an ninh mạng cho biết: “Mặc dù chúng tôi không thể thấy Palmerworm (BlackTech ) đang tấn công những gì từ những nạn nhân này, nhưng nhóm này được coi là một nhóm gián điệp và động cơ có thể đang đánh cắp thông tin từ các công ty mục tiêu”.
Trong số nhiều công ty bị lây nhiễm mã độc Palmerworm, các công ty truyền thông, điện tử và tài chính đều có trụ sở tại Đài Loan, một công ty kỹ thuật ở Nhật Bản và một công ty xây dựng ở Trung Quốc cũng bị nhắm tới.
Ngoài việc sử dụng phần mềm độc hại để xâm nhập các tổ chức, nhóm này được cho là đang hoạt động mang danh nghĩa của công ty truyền thông Đài Loan, với các dấu hiệu liên quan đến vấn đề chính trị giữa Trung Quốc với Đài Loan.
Đây không phải là lần đầu tiên nhóm Hacker BlackTech hoạt động với mục đích tấn công trong lĩnh vực kinh doanh ở Đông Á. Một phân tích năm 2017 của Trend Micro cho thấy nhóm đã tổ chức ba chiến dịch – PLEAD, Shrocted Crossbow và Waterbear – với mục đích đánh cắp tài liệu bí mật và tài sản trí tuệ của nhiều doanh nghiệp lớn.
Một số mẫu phần mềm độc hại được xác định khớp với PLEAD, các nhà nghiên cứu cho biết họ đã xác định được 4 backdoor (Backdoor.Consock, Backdoor.Waship, Backdoor.Dalwit và Backdoor.Nomri). Các Hacker BlackTech đã sử dụng các kỹ thuật hack mới và khác nhau, bao gồm các kỹ thuật cấy ghép backdoor và kỹ thuật lọc dữ liệu nhằm ẩn mình tránh bị phá hiện và theo dõi. Theo các nhà nghiên cứu của Trend Micro, ba chiến dịch đã chứng kiến Hacker sử dụng cùng một máy chủ C&C (chỉ huy và kiểm soát), các công cụ và kỹ thuật giống nhau, điều này cho thấy rằng các chiến dịch “được vận hành bởi cùng một nhóm”.
Chỉ riêng bộ công cụ mã độc giúp hacker đánh cắp các chứng chỉ để chứng thực các file thực thi giúp qua mặt được trình diệt virus, và không bị hệ điều hành cảnh báo không an toàn. Tuy nhiên, trước đây nhóm BlackTech đã tận dụng các email lừa đảo để phát tán và cài đặt backdoor dưới dạng tập tin đính kèm hoặc thông qua các link download trên Internet.
“Các nhóm APT tiếp tục hoạt động mạnh mẽ vào năm 2020, với việc cấy ghép mã độc vào các phần mềm thông dụng (Putty, PSExec, SNScan, và WinRAR) và “chiến thuật sống ngoài đất liền” khiến hoạt động của nhóm sẽ khó bị phát hiện hơn”. Hơn bao giờ hết, doanh nghiệp nên đầu tư khả năng bảo mật để tránh bị rũi ro.
ANV