Dòng chảy
ScarCruft - kẻ cắp dữ liệu từ thiết bị di động đáng gờm

Trong quá trình theo dõi, các nhà nghiên cứu của Kaspersky Lab vừa phát hiện ScarCruft - một nhóm hacker đầy tinh vi đến từ Hàn Quốc đang tạo ra và thử nghiệm nhiều công cụ và kỹ thuật mới, mở rộng cả phạm vi và lượng thông tin thu thập được từ nạn nhân.

Nạn nhân bị ScarCruft tấn công có chủ đích theo khu vực

Cuộc tấn công có chủ đích (APT) của ScarCruft được cho là được nhà nước tài trợ và thường nhắm vào các thực thể chính phủ và những công ty có liên quan đến bán đảo Triều Tiên, với mục đích tìm kiếm thông tin nhằm phục vụ lợi ích chính trị.

Tương tự những cuộc tấn công APT khác, cuộc tấn công của ScarCruft diễn ra dưới dạng spear-phishing hoặc với sự thỏa hiệp của những trang web chiến lược - hay còn được gọi là thủ đoạn tấn công “watering-hole” attacks - sử dụng phương thức khai thác lỗ hổng bảo mật hoặc những thủ thuật khác nhằm tiêm mã độc vào thiết bị của khách truy cập. Giai đoạn đầu, mã độc này có khả năng qua mặt UAC (User Account Control) trên Windows, cho phép nó thực hiện nhiệm vụ tiếp theo với các đặc quyền cao hơn, như sử dụng mã code thường được sử dụng trong tổ chức với mục đích kiểm tra thâm nhập hợp pháp. Để tránh bị phát hiện ở cấp độ mạng, phần mềm độc hại sử dụng chức năng ẩn mã độc trong tệp hình ảnh. Giai đoạn cuối liên quan đến việc cài đặt một cửa hậu dựa trên dịch vụ đám mây được gọi là ROKRAT. Cửa hậu thu thập một loạt thông tin từ hệ thống và thiết bị của nạn nhân và có thể chuyển tiếp thông tin đến bốn dịch vụ đám mây là Box, Dropbox, pCloud và Yandex.Disk.

Nghiên cứu của Kaspersky Lab đã phát hiện ScarCruft dành mối quan tâm rất lớn trong việc đánh cắp dữ liệu từ thiết bị di động, cũng như phần mềm độc hại phát tán mã độc thông qua thiết bị sử dụng API Bluetooth trên Windows. Dựa trên dữ liệu từ xa, nạn nhân của chiến dịch này bao gồm các công ty đầu tư và thương mại ở Việt Nam và Nga có mối liên kết với Triều Tiên, các tổ chức ngoại giao ở Hồng Kông, Bắc Triều Tiên. Một nạn nhân ở Nga bị ScarCruft tấn công cũng được phát hiện đã bị nhóm DarkHotel xuất phát từ Hàn Quốc tấn công trước đó.

"Đây không phải lần đầu tiên chúng tôi nhận thấy ScarCruft và DarkHotel có hoạt động chồng chéo nhau. Chúng có điểm chung về mục tiêu, lợi ích, nhưng được trang bị công cụ, kỹ thuật và quy trình rất khác nhau. ScarCruft hành động thận trọng, nhưng bản thân thể hiện là nhóm hacker có mức độ tinh vi cao, tích cực phát triển và triển khai các công cụ tấn công mới" - ông Seongsu Park, nhà nghiên cứu bảo mật cấp cao, Nhóm Nghiên cứu và Phân tích toàn cầu mối đe dọa (GReAT), Kaspersky Lab cho hay.

Ô Lâu

  

Gửi bình luận
Có thể bạn quan tâm
Dòng chảy
Úc cam kết hỗ trợ Việt Nam 10,5 triệu AUSD để ứng phó lâu dài với COVID-19

Hôm nay 6/6, Đại sứ Australia tại Việt Nam Robyn Mudie đã gặp Bộ trưởng Bộ Kế hoạch và Đầu tư Nguyễn Chí Dũng để gửi lời chúc mừng của Australia về những thành tựu chống COVID-19 xuất sắc của Việt Nam đồng thời cam kết hỗ trợ 10,5 triệu AUSD cho những nỗ lực phục hồi và ứng phó lâu dài của Việt Nam.

Nỗ lực cứu đười ươi orangutan đang có nguy cơ tuyệt chủng bằng máy học

Công ty Amazon Web Services (AWS, thuộc Amazon.com) vừa công bố hợp tác với World Wildlife Fund for Nature Indonesia (WWF-Indonesia), một tổ chức phi lợi nhuận trong mạng lưới toàn cầu của WWF, đẩy nhanh nỗ lực cứu loài đười ươi orangutan đang có nguy cơ tuyệt chủng cao ở Indonesia.

Được giảm giá 2 lần khi thanh toán bằng mã QR Code tại AEON MALL Hà Đông

Từ ngày 5/6 đến ngày 14/6/2020, khách hàng được khuyến mại giảm giá 2 lần khi mua sắm và thanh toán bằng cách quét mã QR Code tại AEON MALL Hà Đông.

Bộ Công an cảnh báo thủ đoạn lừa đảo mới nhắm vào người bán hàng online

Theo thông tin đăng tải trên website Bộ Công an ngày 4/6, lực lượng Công an trong quá trình công tác đã phát hiện một thủ đoạn mới của các đối tượng phạm tội nhằm chiếm đoạt tài sản của người bán hàng online và các hộ kinh doanh, cá nhân kinh doanh vừa và nhỏ.