Các tổ chức chính phủ cấp cao ở Đông Nam Á đang bị nhắm mục tiêu bởi chiến dịch gián điệp mạng do một tác nhân đe dọa Trung Quốc có tên là Sharp Panda thực hiện kể từ cuối năm ngoái.
Các cuộc xâm nhập được đặc trưng với việc sử dụng phiên bản mới của Soul framework, đánh dấu sự khác biệt so với các cuộc tấn công trước đây của nhóm được phát hiện vào năm 2021.
Công ty bảo mật Check Point của Israel cho biết hoạt động trước đây của nhóm tập trung nhắm mục tiêu đến các quốc gia Đông Nam Á như Việt Nam, Thái Lan và Indonesia. Sharp Panda lần đầu tiên được công ty báo cáo vào tháng 6 năm 2021.
Việc sử dụng backdoor Soul đã được Symantec của Broadcom báo cáo vào tháng 10 năm 2021 liên quan đến một hoạt động gián điệp chưa xác định nhắm vào các lĩnh vực quốc phòng, y tế và CNTT-TT ở Đông Nam Á.
Theo Fortinet FortiGuard Labs, phần mềm độc hại đã có từ tháng 10 năm 2017, được xây dựng bằng cách tái sử dụng mã nguồn của trojan Gh0st và các công cụ có sẵn công khai khác.
Check Point cho biết rằng chuỗi tấn công bắt đầu bằng một email lừa đảo có chứa tài liệu nhử sử dụng tệp văn bản có định dạng RTF của Royal Road để lây nhiễm một công cụ tải xuống (downloader) bằng cách khai thác một lỗ hổng trong Microsoft Equation Editor.
Downloader được thiết kế để truy xuất đến một loader khác, SoulSearcher, từ máy chủ điều khiển tấn công (C2). Máy chủ này chỉ phản hồi các yêu cầu (request) bắt nguồn từ các địa chỉ IP tương ứng với các quốc gia bị nhắm mục tiêu.
SoulSearcher chịu trách nhiệm tải xuống, giải mã và thực thi backdoor Soul và các thành phần bổ sung khác, cho phép kẻ tấn công thu thập nhiều loại thông tin.
"Cấu hình backdoor chứa tính năng ‘radio silence’, các tác nhân đe dọa có thể thông qua nó để chỉ định khoảng thời gian backdoor không được phép giao tiếp với máy chủ C2".
Những phát hiện này là một dấu hiệu khác cho thấy việc chia sẻ công cụ phổ biến giữa các nhóm đe dọa APT của Trung Quốc để tạo điều kiện cho việc thu thập thông tin tình báo.
Công ty cho biết: “Mặc dù Soul framework đã được sử dụng ít nhất từ năm 2017, nhưng những kẻ đe dọa đằng sau nó đã liên tục cập nhật và điều chỉnh kiến trúc cũng như khả năng của nó”.
Công ty lưu ý thêm rằng chiến dịch có khả năng "được dàn dựng bởi các tác nhân đe dọa nâng cao được Trung Quốc hậu thuẫn, với các công cụ, khả năng và vị trí chưa được biết đến trong mạng lưới hoạt động gián điệp rộng lớn".
Nguồn: thehackernews.com.
Tín nhiệm mạng | Một mã khai thác cho CVE-2023-21716, một lỗ hổng nghiêm trọng trong Microsoft Word cho phép thực thi mã từ xa, đã được phát hành vào cuối tuần qua.
Tín nhiệm mạng | Một chủng phần mềm độc hại ATM mới có tên là FiXS được phát hiện đã nhắm mục tiêu vào các ngân hàng Mexico kể từ đầu tháng 2 năm 2023.
Tín nhiệm mạng | LastPass đã tiết lộ thêm thông tin về "cuộc tấn công phối hợp thứ hai", trong đó một tác nhân đe dọa đã truy cập và đánh cắp dữ liệu từ các máy chủ lưu trữ cloud AWS của Amazon trong hơn hai tháng
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã phát hiện ra những kẻ đứng sau chiến dịch phần mềm quảng cáo và chiếm quyền điều khiển trình duyệt ChromeLoader hiện đang sử dụng các tệp VHD có tên được đặt theo các trò chơi phổ biến.
Tín nhiệm mạng | Ủy ban Thương mại Liên bang Mỹ (FTC) tiết lộ rằng Mỹ đã mất gần 8,8 tỷ đô la vì nhiều loại lừa đảo khác nhau vào năm 2022, tăng hơn 30% so với năm trước.
Tín nhiệm mạng | Apple đã cập nhật các tư vấn bảo mật được phát hành vào tháng trước để bổ sung ba lỗ hổng mới ảnh hưởng đến iOS, iPadOS, và macOS.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
