Chiến dịch tấn công nhằm vào chính phủ và các công ty công nghệ lớn trên toàn cầu

0
0

- Nhóm APT Earth Estries đang thực hiện một chiến dịch gián điệp mạng nhằm vào chính phủ và các công ty công nghệ lớn tại nhiều quốc gia và vùng lãnh thổ như: Philippines, Đài Loan, Malaysia, Nam Phi, Đức và Mỹ.

Nhóm Earth Estrie bắt đầu hoạt động kể từ năm 2020 và sử dụng chiến thuật tấn công tương tự với nhóm FamousSparrow. Nhóm FamousSparrow đã bị phát hiện bởi ESET vào năm 2021 khi họ khai thác lỗ hổng ProxyLogon trên Microsoft Exchange Server để xâm nhập vào chính phủ, các ngành dịch vụ khách sạn, kỹ sư và pháp lý.

Đáng chú ý là những điểm tương đồng này cũng đã được phát hiện giữa FamousSparrow và UNC4841, một nhóm tấn công chưa được xác định, hiện đang khai thác lỗ hổng zero-day trong các thiết bị Barracuda Networks Email Security Gateway (ESG).

Ảnh minh họa
Ảnh minh họa

Theo các chuyên gia bảo mật, nhóm Earth Estries sử dụng Cobalt Strike để tiến hành các tác vụ sau khi xâm nhập thành công vào môi trường hệ thống, sau đó tiến hành triển khai thêm mã độc và mở rộng phạm vi xâm nhập trong hệ thống mạng.

Nhóm tấn công được ghi nhận đang triển khai một số backdoor và công cụ tấn công ba gồm cả bộ đánh cắp dữ liệu trình duyệt và các công cụ quét cổng nhằm nâng cao khả năng thu thập dữ liệu trong chiến dịch. Một trong số công cụ gồm có:

• PlugX;

• Zingdoor: Một mã độc dựa trên Go nhằm thu thập thông tin hệ thống, liệt kê và quản lý các file; thực thi câu lệnh từ xa;

• TrillClient: Một công cụ đánh cắp dữ liệu viết bằng Go và có nhiệm vụ thu thập dữ liệu từ trình duyệt;

• HemiGate: Đây là một backdoor có khả năng lưu trữ dữ liệu được nhập từ bàn phím, chụp màn hình, thực hiện và theo dõi quá trình các tác vụ trên file.

Nhóm tấn công đã xâm nhập vào các máy chủ nội bộ và sử dụng tài khoản hợp lệ trong hệ thống để tiến hành di chuyển trong mạng của mục tiêu, từ đó thực hiện các hành động độc hại một cách lén lút.

Để tránh bị phát hiện, Earth Estries thường xuyên cài đặt lại các backdoor trên các thiết bị đã bị nhiễm mã độc. Đây là một minh chứng cho động cơ gián điệp của Earth Estries. Dựa trên phân tích của các chuyên gia bảo mật, nhóm Earth Estries phụ thuộc phần lớn vào DLL side-loading để tải các công cụ và tránh để lại dấu vết.

Nhóm này cũng sử dụng tấn công PowerShell hạ cấp để tránh bị phát hiện bởi cơ chế ghi log của Windows Antimalware Scan Interface (AMSI).

Một điều đáng chú ý khác trong quá trình hoạt động của nhóm tấn công này là việc lợi dụng các dịch vụ công cộng như Github, Gmail, AnonFiles và File.io để trao đổi hoặc truyền câu lệnh và dữ liệu đã bị đánh cắp. Phần lớn máy chủ C&C của nhóm tấn công được đặt tại Mỹ, Ấn Độ, Úc, Canada, Trung Quốc, Nhật Bản, Phần Lan, Nam Phi và Anh.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.