Trang chủ Công nghệ

Chiến dịch tấn công APT: Nhóm tấn công APT15 trở lại với mã độc Graphican

0
0

- Gần đây, một nhóm tấn công có tên là APT15 đã sử dụng backdoor Graphican trong chiến dịch tấn công diễn ra từ khoảng cuối năm 2022 cho tới đầu năm 2023.

Nhóm APT15 còn có các tên gọi khác như Nickel, Flea, Ke3Chang và Vixen Panda đã hoạt động kể từ năm 2004 và thường nhằm mục tiêu vào các tổ chức công và tư có tiếng trên thế giới.

Nhóm này đã sử dụng nhiều loại mã độc và các backdoor tự chế trong thời gian hoạt động bao gồm: RoyalCLI và Royal DNS, Okrum, Ketrum, cùng với các phần mềm gián điệp (spyware) trên hệ điều hành Android như SilkBean và Moonshine.

Hiện nay, các chuyên gia bảo mật cảnh báo rằng chiến dịch mới nhất của APT15 đang nhằm vào các cơ quan Bộ Ngoại giao đặt tại Trung Mỹ và Nam Mỹ.

 

Backdoor Graphican

Theo báo cáo, Graphican là một phiên bản nâng cấp của một mã độc đã từng được sử dụng bởi nhóm APT15 chứ không phải là một công cụ hoàn toàn mới.

Điểm đáng chú ý của mã độc này là việc sử dụng Microsoft Graph API và OneDrive để mã hóa địa chỉ của hạ tầng điều khiển C&C, khiến cho mã độc trở nên linh hoạt và có khả năng chống cự trước các cuộc tấn công.

Hoạt động của Graphican trên một thiết bị nhiễm mã độc được mô tả như sau:

• Vô hiệu hóa "wizard chạy lần đầu" (first-run wizard) và trang chào mừng của Internet Explorer 10 bằng cách sử dụng khóa registry.

• Xác minh xem tiến trình 'iexplore.exe' có đang hoạt động hay không.

• Xây dựng một đối tượng COM global - IwebBrowser2 để truy cập internet.

• Xác thực với Microsoft Graph API để lấy mã thông báo truy cập hợp lệ (access token) và mã làm mới (refresh_token).

• Liệt kê các tệp và thư mục con trong thư mục "Person" trên OneDrive bằng cách sử dụng Graph

API.

• Giải mã tên thư mục đầu tiên để sử dụng nó làm máy chủ điều khiển (C&C server).

• Tạo một Bot ID duy nhất bằng cách sử dụng tên máy chủ, địa chỉ IP cục bộ, phiên bản Windows, định danh ngôn ngữ mặc định và kiểu bit của tiến trình (32/64-bit).

• Thêm bot vào máy chủ điều khiển bằng cách sử dụng chuỗi định dạng cụ thể được tạo bởi dữ liệu đã thu thập được trên máy của nạn nhân.

• Thường xuyên kiểm tra máy chủ điều khiển để tìm các câu lệnh mới cần thực thi.

PV

Chiến dịch tấn công APT , Nhóm tấn công APT15 , trở lại , mã độc Graphican

Ý kiến bạn đọc

Bài viết liên quan

Bài viết mới nhất

Video

Tiêu điểm

Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Sự kiện và vấn đề -
0
Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

Sự kiện và vấn đề -
0
(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

Sự kiện và vấn đề -
0
(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

Sự kiện và vấn đề -
0
(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

Kinh tế số -
0
(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.
  • địa chỉ in túi giấy giá rẻ nhất . in lấy nhanh , miễn phí thiết kế

    • TẠP CHÍ ĐIỆN TỬ

    Giấy phép số 15/GP-BTTTT ngày 15/1/2020 của Bộ Thông tin và Truyền thông

    Cơ quan chủ quản: Tập đoàn Bưu chính Viễn thông Việt Nam

    Tổng biên tập: Nguyễn Tất Hồng Dương

    Tòa soạn: 57 Huỳnh Thúc Kháng - Đống Đa - Hà Nội

    Đường dây nóng và Liên hệ quảng cáo : 0946 558 686

    Email: toasoan@vnmedia.vn