Kaspersky: Nhóm tin tặc ScarCruft đến từ Hàn Quốc tạo mã độc tấn công thiết bị kết nối Bluetooth

Thảo luận trong 'Tin tức 365' bắt đầu bởi News, 17/05/2019.

  1. Offline

    News Người đưa tin

    Số bài viết:
    6.034
    Đã được thích:
    2.066
    (MobileWorld.vn) - Các nhà nghiên cứu của Kaspersky Lab trong quá trình theo dõi hoạt động của ScarCruft - một nhóm hacker đầy tinh vi đến từ Hàn Quốc, cho biết vừa phát hiện ScarCruft đang tạo ra và thử nghiệm nhiều công cụ và kỹ thuật mới, đồng thời mở rộng cả phạm vi và lượng thông tin thu thập được từ nạn nhân. Ngoài ra, ScarCruft cũng tạo được mã độc có khả năng nhận ra và tấn công các thiết bị kết nối Bluetooth.

    [IMG]

    Cuộc tấn công có chủ đích (APT) của ScarCruft được cho là được nhà nước tài trợ và thường nhắm vào các thực thể chính phủ và những công ty có liên quan đến bán đảo Triều Tiên, với mục đích tìm kiếm thông tin nhằm phục vụ lợi ích chính trị. Trong những hoạt động mới nhất được phát hiện bởi Kaspersky Lab, có tín hiệu cho thấy các nhóm hacker đang phát triển và thử nghiệm những khai thác lỗ hổng bảo mật mới, dành nhiều quan tâm hơn cho dữ liệu từ các thiết bị di động và tích cực điều chỉnh các công cụ và dịch vụ để phục vụ hoạt động tấn công mạng của mình.

    Tương tự những cuộc tấn công APT khác, cuộc tấn công của ScarCruftdiễn ra dưới dạng spear-phishing hoặc với sự thỏa hiệp của những trang web chiến lược - hay còn được gọi là thủ đoạn tấn công “watering-hole” attacks - sử dụng phương thức khai thác lỗ hổng bảo mật hoặc những thủ thuật khác nhằm tiêm mã độc vào thiết bị của khách truy cập. Giai đoạn đầu, mã độc này có khả năng qua mặt UAC (User Account Control) trên Windows, cho phép nó thực hiện nhiệm vụ tiếp theo với các đặc quyền cao hơn, như sử dụng mã code thường được sử dụng trong tổ chức với mục đích kiểm tra thâm nhập hợp pháp. Để tránh bị phát hiện ở cấp độ mạng, phần mềm độc hại sử dụng chức năng ẩn mã độc trong tệp hình ảnh. Giai đoạn cuối liên quan đến việc cài đặt một cửa hậu dựa trên dịch vụ đám mây được gọi là ROKRAT. Cửa hậu thu thập một loạt thông tin từ hệ thống và thiết bị của nạn nhân và có thể chuyển tiếp thông tin đến bốn dịch vụ đám mây: Box, Dropbox, pCloud và Yandex.Disk.

    Các nhà nghiên cứu của Kaspersky Lab cũng đã phát hiện ScarCruftdành mối quan tâm rất lớn trong việc đánh cắp dữ liệu từ thiết bị di động, cũng như phần mềm độc hại phát tán mã độc thông qua thiết bị sử dụng API Bluetooth trên Windows.

    Dựa trên dữ liệu từ xa, nạn nhân của chiến dịch này bao gồm các công ty đầu tư và thương mại ở Việt Nam và Nga có mối liên kết với Triều Tiên và các tổ chức ngoại giao ở Hồng Kông và Bắc Triều Tiên. Một nạn nhân ở Nga bị ScarCruft tấn công cũng được phát hiện đã bị nhóm DarkHotel xuất phát từ Hàn Quốc tấn công trước đó.

    Tất cả các sản phẩm của Kaspersky Lab đều có khả năng phát hiện và ngăn chặn thành công các mối đe dọa này.

    Thông tin thêm về hoạt động mới nhất của ScarCruft có thể được tìm thấy trên Securelist.

    :mw:
    Sửa lần cuối bởi LeDuy, 17/05/2019

    LeDuy thích bài này.

Chia sẻ trang này