Kaspersky: Sofacy chuyển hướng tập trung vào quốc phòng và ngoại giao vùng Viễn Đông

Thảo luận trong 'Tin tức 365' bắt đầu bởi News, 15/03/2018.

  1. Offline

    News Người đưa tin

    Số bài viết:
    5.657
    Đã được thích:
    2.044
    (MobileWorld.vn) - Các nhà nghiên cứu của Kaspersky Lab quan sát thấy mối đe dọa nói tiếng Nga Sofacy, còn được biết với tên APT28 hay Fancy Bear đang chuyển mục tiêu sang Viễn Đông, với sự quan tâm đặc biệt đến các tổ chức quân sự, quốc phòng và ngoại giao ngoài các mục tiêu có liên quan đến NATO.

    [IMG]

    Các nhà nghiên cứu đã phát hiện ra rằng Sofacy đôi khi chồng chéo với các mối đe dọa khác bao gồm cả Turla nói tiếng Nga và Danti nói tiếng Trung Quốc về nạn nhân mục tiêu. Điểm thú vị nhất làhọ đã tìm thấy backdoor của Sofacy trên một máy chủ trước đó bị chiếm quyền bởi mối đe dọa nói tiếng Anh đứng sau Lamberts. Máy chủ thuộc tập đoàn quân sự và hàng không vũ trụ ở Trung Quốc.

    Sofacy là một nhóm gián điệp mạng mà các nhà nghiên cứu của Kaspersky Lab đã theo dõi trong nhiều năm qua.Vào tháng 2, Kaspersky Lab công bố tổng quan các hoạt động của Sofacy vào năm 2017, tiết lộ bước đi dần dần từ các mục tiêu liên quan đến NATO tới Trung Đông, Trung Á và hơn thế nữa. Sofacy sử dụng lừa đảo để ăn cắp thông tin, bao gồm thông tin tài khoản, thông tin nhạy cảm và tài liệu. Nó cũng bị nghi ngờ là phân phối các dữ liệu vận chuyển nguy hiểm đến các mục tiêu khác nhau.

    Các phát hiện mới cho thấy Sofacy không phải là kẻ săn mồi duy nhất theo dõi các khu vực này, và điều này đôi khi dẫn đến sự chồng chéo giữa các đối tượng đe dọa rất khác nhau. Trong trường hợp của Sofacy, các nhà nghiên cứu đã tìm ra các kịch bản nơi phần mềm độc hại Zebrocy đã cạnh tranh để nạn nhân truy cập với nhóm Mosquito Turla nói tiếng Nga; và nơi backdoor của SPLM cạnh tranh với Turla truyền thống và các cuộc tấn công của nhóm Danti. Các mục tiêu chia sẻ bao gồm các cơ quan hành chính nhà nước, công nghệ, khoa học và các tổ chức liên quan đến quân sự trong hoặc từ Trung Á.

    [IMG]

    Trong một số trường hợp, các mục tiêu dường như phải chịu cùng lúc các cuộc tấn công từ cả SPLM lẫn Zebrocy.Tuy nhiên, chồng chéo nhất có lẽ là giữa Sofacy và mối đe dọa nói tiếng Anh đứng sau Lamberts. Kết nối này đã được phát hiện sau khi các nhà nghiên cứu phát hiện ra sự hiện diện của Sofacy trên một máy chủ đã xác định trước đó là bị tổn hại bởi phần mềm độc hại Gray Lambert. Máy chủ này thuộc về một tập đoàn Trung Quốc chuyên thiết kế và sản xuất các công nghệ hàng không và vũ trụ.

    Tuy nhiên, trong ví dụ này, giao diện SPLM gốc cho Sofacy vẫn là ẩn số. Điều đó đưa ra một số khả năng giả thuyết, bao gồm cả thực tế là Sofacy có thể sử dụng một cách khai thác mới và chưa bị phát hiện hoặc một đường mới của backdoor; hoặc Sofacy đã bằng cách nào đó đã quản lý để khai thác các kênh truyền thông của Gray Lambert để tải phần mềm độc hại của nó. Điều này thậm chí có thể hiểu là các chỉ số của Sofacy có thể là một lá cờ sai, do sự hiện diện của Lambert trước đây. Các nhà nghiên cứu tin rằng câu trả lời chắc chắn nhất là một tập lệnh PowerShell mới hoặc ứng dụng web hợp pháp nhưng dễ bị xâm nhập đã được khai thác để tải và thực thi mã SPLM trong trường hợp này. Nghiên cứu vẫn đang được tiến hành.

    Các nhà nghiên cứu cũng nhận thấy rằng Sofacy giờ đây duy trì các phân khu riêng biệt cho mỗi công cụ chính của nó, với các nhóm để mã hóa, phát triển và nhắm mục tiêu của SPLM (còn gọi là CHOPSTICK và Xagent), GAMEFISH và Zebrocy. SPLM được coi là công cụ giai đoạn thứ hai chủ yếu và được chọn lọc nhất của Sofacy, trong khi Zebrocy được sử dụng cho các cuộc tấn công khối lượng lớn. Theo các nhà nghiên cứu, vào đầu năm 2018, Sofacy đã nhắm mục tiêu vào các tổ chức thương mại lớn ở Trung Quốc bằng SPLM, trong khi triển khai Zebrocy rộng khắp Armenia, Thổ Nhĩ Kỳ, Kazahkstan, Tajikistan, Afghanistan, Mông Cổ, Trung Quốc và Nhật Bản.

    Chi tiết thêm về hoạt động của Sofacy năm 2018 và thông tin kỹ thuật về các công cụ phát triển của nó có thể được tìm thấy trên Securelist.com

    :mw:


Tags: kaspersky, Sofacy

Chia sẻ trang này