Dòng chảy
ScarCruft - kẻ cắp dữ liệu từ thiết bị di động đáng gờm
Trong quá trình theo dõi, các nhà nghiên cứu của Kaspersky Lab vừa phát hiện ScarCruft - một nhóm hacker đầy tinh vi đến từ Hàn Quốc đang tạo ra và thử nghiệm nhiều công cụ và kỹ thuật mới, mở rộng cả phạm vi và lượng thông tin thu thập được từ nạn nhân.

Nạn nhân bị ScarCruft tấn công có chủ đích theo khu vực

Cuộc tấn công có chủ đích (APT) của ScarCruft được cho là được nhà nước tài trợ và thường nhắm vào các thực thể chính phủ và những công ty có liên quan đến bán đảo Triều Tiên, với mục đích tìm kiếm thông tin nhằm phục vụ lợi ích chính trị.

Tương tự những cuộc tấn công APT khác, cuộc tấn công của ScarCruft diễn ra dưới dạng spear-phishing hoặc với sự thỏa hiệp của những trang web chiến lược - hay còn được gọi là thủ đoạn tấn công “watering-hole” attacks - sử dụng phương thức khai thác lỗ hổng bảo mật hoặc những thủ thuật khác nhằm tiêm mã độc vào thiết bị của khách truy cập. Giai đoạn đầu, mã độc này có khả năng qua mặt UAC (User Account Control) trên Windows, cho phép nó thực hiện nhiệm vụ tiếp theo với các đặc quyền cao hơn, như sử dụng mã code thường được sử dụng trong tổ chức với mục đích kiểm tra thâm nhập hợp pháp. Để tránh bị phát hiện ở cấp độ mạng, phần mềm độc hại sử dụng chức năng ẩn mã độc trong tệp hình ảnh. Giai đoạn cuối liên quan đến việc cài đặt một cửa hậu dựa trên dịch vụ đám mây được gọi là ROKRAT. Cửa hậu thu thập một loạt thông tin từ hệ thống và thiết bị của nạn nhân và có thể chuyển tiếp thông tin đến bốn dịch vụ đám mây là Box, Dropbox, pCloud và Yandex.Disk.

Nghiên cứu của Kaspersky Lab đã phát hiện ScarCruft dành mối quan tâm rất lớn trong việc đánh cắp dữ liệu từ thiết bị di động, cũng như phần mềm độc hại phát tán mã độc thông qua thiết bị sử dụng API Bluetooth trên Windows. Dựa trên dữ liệu từ xa, nạn nhân của chiến dịch này bao gồm các công ty đầu tư và thương mại ở Việt Nam và Nga có mối liên kết với Triều Tiên, các tổ chức ngoại giao ở Hồng Kông, Bắc Triều Tiên. Một nạn nhân ở Nga bị ScarCruft tấn công cũng được phát hiện đã bị nhóm DarkHotel xuất phát từ Hàn Quốc tấn công trước đó.

"Đây không phải lần đầu tiên chúng tôi nhận thấy ScarCruft và DarkHotel có hoạt động chồng chéo nhau. Chúng có điểm chung về mục tiêu, lợi ích, nhưng được trang bị công cụ, kỹ thuật và quy trình rất khác nhau. ScarCruft hành động thận trọng, nhưng bản thân thể hiện là nhóm hacker có mức độ tinh vi cao, tích cực phát triển và triển khai các công cụ tấn công mới" - ông Seongsu Park, nhà nghiên cứu bảo mật cấp cao, Nhóm Nghiên cứu và Phân tích toàn cầu mối đe dọa (GReAT), Kaspersky Lab cho hay.

Ô Lâu

  

Gửi bình luận
Có thể bạn quan tâm
Dòng chảy
Tử vong khi ngủ cạnh smartphone đang sạc pin

Một thanh niên người Thái Lan được phát hiện đã tử vong khi ngủ bên cạnh điện thoại đang sạc pin và kết nối tai nghe. Đây là thực trạng đáng báo động đối với người dùng đang có thói quen vừa sạc pin vừa đeo tai nghe khi ngủ.

Điện thoại có camera 108MP, zoom quang 10x sẽ sớm xuất hiện

Những chiếc điện thoại đạt độ phân giải 108MP và zoom quang học 10x vào một cụm camera duy nhất hiện được rò rỉ là đang trong quá trình nghiên cứu. Dự kiến máy có thể trình làng vào đầu năm 2020, tức chỉ còn vài tháng nữa.

Ngân hàng tiếp tục cảnh báo người dùng vấn nạn lừa đảo đang bùng phát

Các ngân hàng vừa tiếp tục gửi đến người dùng tin nhắn SMS cảnh báo vấn nạn lừa đảo giả mạo ngân hàng. Hiện vẫn còn khá nhiều người dùng dính bẫy lừa đảo này trong thời gian qua.

Công bố loạt tính năng mới trên ứng dụng tương tác Microsoft Teams

Tại sự kiện dành cho đối tác Microsoft Inspire đang diễn ra từ ngày 14 đến 18/7 ở Hoa Kỳ, Microsoft công bố những thay đổi sắp tới của ứng dụng Microsoft Teams, đồng thời đưa ra những cam kết trong việc phát triển hệ sinh thái đối tác của mình.