🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Ngọk Yêu đã đăng ký tín nhiệm. 🔥                    🔥 Ban Quản lý rừng phòng hộ Núi Cậu Dầu Tiếng đã đăng ký tín nhiệm. 🔥                    🔥 Quỹ Bảo vệ và Phát triển rừng tỉnh Điện Biên đã đăng ký tín nhiệm. 🔥                   

Tin tặc khai thác T-Mobile và các công ty viễn thông khác của Hoa Kỳ trong chiến dịch rộng hơn

19/11/2024

Gã khổng lồ viễn thông Hoa Kỳ T-Mobile đã xác nhận rằng họ cũng nằm trong số các công ty bị các tác nhân đe dọa từ Trung Quốc nhắm tới để truy cập vào thông tin có giá trị.

Kẻ thù, được theo dõi với tên gọi Salt Typhoon, đã xâm nhập vào công ty như một phần của "chiến dịch kéo dài nhiều tháng" được thiết kế để thu thập thông tin liên lạc qua điện thoại di động của "các mục tiêu tình báo có giá trị cao".

Với diễn biến mới nhất, T-Mobile đã gia nhập danh sách các tổ chức lớn như AT&T, Verizon và Lumen Technologies bị chỉ đích danh là một phần của chiến dịch gián điệp mạng toàn diện.

Cho đến nay, các báo cáo không đề cập đến mức độ thành công của các cuộc tấn công này, liệu có bất kỳ loại phần mềm độc hại nào được cài đặt hay không hoặc chúng nhắm đến loại thông tin nào. Việc Salt Typhoon truy cập trái phép vào hồ sơ dữ liệu di động của người Mỹ đã được Politico tiết lộ trước đó.

Tuần trước, chính phủ Hoa Kỳ cho biết cuộc điều tra đang diễn ra về việc nhắm mục tiêu vào cơ sở hạ tầng viễn thông thương mại, tiết lộ một vụ tấn công "rộng rãi và đáng kể" do Cộng hòa Nhân dân Trung Hoa (PRC) chỉ đạo.

"Các tác nhân có liên hệ với Cộng hòa Nhân dân Trung Hoa đã xâm nhập vào mạng lưới tại nhiều công ty viễn thông để đánh cắp dữ liệu hồ sơ cuộc gọi của khách hàng, xâm phạm các thông tin liên lạc riêng tư của một số cá nhân chủ yếu tham gia vào hoạt động chính phủ hoặc chính trị và sao chép một số thông tin thuộc đối tượng yêu cầu của cơ quan thực thi pháp luật Hoa Kỳ theo lệnh của tòa án", báo cáo cho biết.

Salt Typhoon, còn được gọi là Earth Estries, FamousSparrow, GhostEmperor và UNC2286, được cho là đã hoạt động ít nhất từ ​​năm 2020, theo Trend Micro. Vào tháng 8 năm 2023, nhóm gián điệp đã liên kết với một loạt các cuộc tấn công nhằm vào chính phủ và các ngành công nghiệp công nghệ có trụ sở tại Philippines, Đài Loan, Malaysia, Nam Phi, Đức và Hoa Kỳ

Phân tích cho thấy những kẻ tấn công đã tạo ra các phần mềm độc hại một cách có phương pháp và sử dụng sự kết hợp thú vị giữa các công cụ và kỹ thuật hợp pháp, chuyên dụng để vượt qua hàng phòng thủ và duy trì quyền truy cập vào mục tiêu của chúng.

"Earth Estries duy trì tính bền bỉ bằng cách liên tục cập nhật các công cụ và sử dụng các cửa hậu để di chuyển ngang hàng và đánh cắp thông tin đăng nhập", các nhà nghiên cứu  cho biết trong một phân tích đầy đủ được công bố vào đầu tháng này.

Trong một loạt các cuộc tấn công, kẻ tấn công đã bị phát hiện lợi dụng các cài đặt QConvergeConsole dễ bị tấn công hoặc cấu hình sai để phát tán phần mềm độc hại như Cobalt Strike, một trình đánh cắp dựa trên Go tùy chỉnh có tên là TrillClient và các cửa hậu như HemiGate và Crowdoor , một biến thể của SparrowDoor trước đây đã được một nhóm khác có liên hệ với Trung Quốc có tên là Tropic Trooper sử dụng.

Một số kỹ thuật khác bao gồm việc sử dụng PSExec để cài đặt các công cụ và cửa hậu theo chiều ngang và TrillClient để thu thập thông tin đăng nhập người dùng từ hồ sơ người dùng trên trình duyệt web và đánh cắp chúng vào tài khoản Gmail do kẻ tấn công kiểm soát thông qua Simple Mail Transfer Protocol (SMTP) để đạt được mục tiêu của mình.

Ngược lại, trình tự lây nhiễm thứ hai phức tạp hơn nhiều, khi kẻ tấn công lợi dụng các máy chủ Microsoft Exchange dễ bị tấn công để cấy shell web China Chopper, sau đó được sử dụng để phát tán Cobalt Strike, Zingdoor và Snappybee (hay còn gọi là Deed RAT), một phiên bản kế nhiệm của phần mềm độc hại ShadowPad .

Ngoài ra, các chương trình như NinjaCopy để trích xuất thông tin xác thực và PortScan để khám phá và lập bản đồ mạng cũng được sử dụng trong các cuộc tấn công. Tính bền bỉ trên máy chủ được thực hiện thông qua các tác vụ theo lịch trình.

Nguồn: thehackernews.com

scrolltop