Gã khổng lồ viễn thông Hoa Kỳ T-Mobile đã xác nhận rằng họ cũng nằm trong số các công ty bị các tác nhân đe dọa từ Trung Quốc nhắm tới để truy cập vào thông tin có giá trị.
Kẻ thù, được theo dõi với tên gọi Salt Typhoon, đã xâm nhập vào công ty như một phần của "chiến dịch kéo dài nhiều tháng" được thiết kế để thu thập thông tin liên lạc qua điện thoại di động của "các mục tiêu tình báo có giá trị cao".
Với diễn biến mới nhất, T-Mobile đã gia nhập danh sách các tổ chức lớn như AT&T, Verizon và Lumen Technologies bị chỉ đích danh là một phần của chiến dịch gián điệp mạng toàn diện.
Cho đến nay, các báo cáo không đề cập đến mức độ thành công của các cuộc tấn công này, liệu có bất kỳ loại phần mềm độc hại nào được cài đặt hay không hoặc chúng nhắm đến loại thông tin nào. Việc Salt Typhoon truy cập trái phép vào hồ sơ dữ liệu di động của người Mỹ đã được Politico tiết lộ trước đó.
Tuần trước, chính phủ Hoa Kỳ cho biết cuộc điều tra đang diễn ra về việc nhắm mục tiêu vào cơ sở hạ tầng viễn thông thương mại, tiết lộ một vụ tấn công "rộng rãi và đáng kể" do Cộng hòa Nhân dân Trung Hoa (PRC) chỉ đạo.
"Các tác nhân có liên hệ với Cộng hòa Nhân dân Trung Hoa đã xâm nhập vào mạng lưới tại nhiều công ty viễn thông để đánh cắp dữ liệu hồ sơ cuộc gọi của khách hàng, xâm phạm các thông tin liên lạc riêng tư của một số cá nhân chủ yếu tham gia vào hoạt động chính phủ hoặc chính trị và sao chép một số thông tin thuộc đối tượng yêu cầu của cơ quan thực thi pháp luật Hoa Kỳ theo lệnh của tòa án", báo cáo cho biết.
Salt Typhoon, còn được gọi là Earth Estries, FamousSparrow, GhostEmperor và UNC2286, được cho là đã hoạt động ít nhất từ năm 2020, theo Trend Micro. Vào tháng 8 năm 2023, nhóm gián điệp đã liên kết với một loạt các cuộc tấn công nhằm vào chính phủ và các ngành công nghiệp công nghệ có trụ sở tại Philippines, Đài Loan, Malaysia, Nam Phi, Đức và Hoa Kỳ
Phân tích cho thấy những kẻ tấn công đã tạo ra các phần mềm độc hại một cách có phương pháp và sử dụng sự kết hợp thú vị giữa các công cụ và kỹ thuật hợp pháp, chuyên dụng để vượt qua hàng phòng thủ và duy trì quyền truy cập vào mục tiêu của chúng.
"Earth Estries duy trì tính bền bỉ bằng cách liên tục cập nhật các công cụ và sử dụng các cửa hậu để di chuyển ngang hàng và đánh cắp thông tin đăng nhập", các nhà nghiên cứu cho biết trong một phân tích đầy đủ được công bố vào đầu tháng này.
Trong một loạt các cuộc tấn công, kẻ tấn công đã bị phát hiện lợi dụng các cài đặt QConvergeConsole dễ bị tấn công hoặc cấu hình sai để phát tán phần mềm độc hại như Cobalt Strike, một trình đánh cắp dựa trên Go tùy chỉnh có tên là TrillClient và các cửa hậu như HemiGate và Crowdoor , một biến thể của SparrowDoor trước đây đã được một nhóm khác có liên hệ với Trung Quốc có tên là Tropic Trooper sử dụng.
Một số kỹ thuật khác bao gồm việc sử dụng PSExec để cài đặt các công cụ và cửa hậu theo chiều ngang và TrillClient để thu thập thông tin đăng nhập người dùng từ hồ sơ người dùng trên trình duyệt web và đánh cắp chúng vào tài khoản Gmail do kẻ tấn công kiểm soát thông qua Simple Mail Transfer Protocol (SMTP) để đạt được mục tiêu của mình.
Ngược lại, trình tự lây nhiễm thứ hai phức tạp hơn nhiều, khi kẻ tấn công lợi dụng các máy chủ Microsoft Exchange dễ bị tấn công để cấy shell web China Chopper, sau đó được sử dụng để phát tán Cobalt Strike, Zingdoor và Snappybee (hay còn gọi là Deed RAT), một phiên bản kế nhiệm của phần mềm độc hại ShadowPad .
Ngoài ra, các chương trình như NinjaCopy để trích xuất thông tin xác thực và PortScan để khám phá và lập bản đồ mạng cũng được sử dụng trong các cuộc tấn công. Tính bền bỉ trên máy chủ được thực hiện thông qua các tác vụ theo lịch trình.
Nguồn: thehackernews.com
Tín nhiệm mạng | Các tài liệu pháp lý được công bố trong cuộc chiến pháp lý đang diễn ra giữa WhatsApp của Meta và NSO Group đã tiết lộ rằng nhà cung cấp phần mềm gián điệp của Israel đã sử dụng nhiều lỗ hổng nhắm vào ứng dụng nhắn tin để phân phối Pegasus.
Tín nhiệm mạng | Hôm nay là ngày phát hành bản vá lỗi tháng 11 năm 2024 của Microsoft, bao gồm các bản cập nhật bảo mật cho 89 lỗ hổng, bao gồm 4 lỗ hổng zero-day, trong đó có 2 lỗ hổng đang bị khai thác tích cực.
Tín nhiệm mạng | Công ty an ninh mạng Bitdefender của Romania đã phát hành một công cụ giải mã miễn phí giúp nạn nhân khôi phục dữ liệu bị mã hóa bằng phần mềm tống tiền ShrinkLocker.
Tín nhiệm mạng | Ngày 12/11/2024, Microsoft tiết lộ rằng 2 lỗ hổng bảo mật ảnh hưởng đến Windows NT LAN Manager (NTLM) và Task Scheduler đã bị khai thác một cách tích cực trong thực tế.
Tín nhiệm mạng | Tin tặc đang cố gắng khai thác 2 lỗ hổng bảo mật zero-day trong camera phát trực tiếp pan-tilt-zoom (PTZ) của PTZOptics được sử dụng trong các lĩnh vực công nghiệp, chăm sóc sức khỏe, hội nghị kinh doanh, chính phủ và phòng xử án.
Tín nhiệm mạng | Microsoft tiết lộ rằng một nhóm tấn công của Trung Quốc mà họ theo dõi với tên Storm-0940 đang sử dụng botnet có tên Quad7 để tấn công bằng cách dò mật khẩu (password spray) mà rất khó bị phát hiện.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
