Kaspersky: Thông tin về cuộc tấn công nhắm vào người dùng di động ở Đông Nam Á

Thảo luận trong 'Tin tức 365' bắt đầu bởi News, 28/03/2020.

  1. Offline

    News Người đưa tin

    Số bài viết:
    6.427
    Đã được thích:
    2.072
    (MobileWorld.vn) - Đầu tháng 3, Trend Micro đã công bố một nghiên cứu về chiến dịch tấn công mạng nhắm vào người dùng ở Đông Nam Á với phần mềm gián điệp tinh vi có tên LightSpy. Sau đó, Nhóm phân tích và nghiên cứu toàn cầu của Kaspersky cũng đã công bố một số chi tiết quan trọng về cuộc tấn công nhắm vào người dùng di động thông qua các liên kết trên nhiều diễn đàn và kênh truyền thông khác nhau.

    [IMG]


    Trong nghiên cứu đã được đăng tải trên Securelist.com, Kaspersky đưa ra phân tích về:

    - Thời gian triển khai hoạt động gián điệp bắt đầu từ tháng 1 năm 2020
    - Các mẫu LightSpy Android chưa từng xuất hiện trước đây
    - Dấu vết nhắm vào những máy tính chạy hệ điều hành Windows, Mac và Linux cùng với các bộ định tuyến dựa trên Linux
    - Một số chi tiết khác về cuộc tấn công

    Những thông tin đã biết về cuộc tấn công LightSpy

    Tin tặc đứng sau chiến dịch sẽ phát tán liên kết đến các trang web chứa mã độc bằng cách giả thành những trang web gốc được nạn nhân tiềm năng thường xuyên truy cập. Khi nạn nhân truy cập trang web chứa mã độc, chuỗi khai thác tùy chỉnh sẽ tạo shellcode, từ đó triển khai phần mềm độc hại trên thiết bị di động của nạn nhân.

    [IMG]
    Trang đích của trang web chứa mã độc

    Phần mềm độc hại đang nhắm mục tiêu đến điện thoại iPhone chạy phiên bản iOS đến 12.2. Người dùng sử dụng phiên bản iOS mới nhất (13.4) không bị tấn công trong đợt khai thác này. Người dùng các thiết bị chạy hệ điều hành Android cũng là mục tiêu tấn công. Ngoài ra, Kaspersky đã phát hiện sự tồn tại của phần mềm độc hại nhắm mục tiêu vào máy tính Mac, Linux và Windows, cùng với các bộ định tuyến dựa trên Linux.

    Nghiên cứu cũng phát hiện ra phần mềm độc hại đang bị phát tán thông qua các bài đăng và trả lời trên diễn đàn, cũng như những nền tảng truyền thông phổ biến bằng cách đăng liên kết đến các trang đích. Khi trang web được truy cập, phần mềm độc hại bẻ khóa thiết bị nạn nhân, cung cấp cho kẻ tấn công khả năng ghi âm cuộc gọi và âm thanh, đọc một số trình nhắn tin nhất định…

    Với những thông tin hiện có, không thể quy kết chiến dịch tấn công cho bất kỳ hoạt động APT nào đã biết, đó là lý do Kaspersky tạm gọi kẻ tấn công là “TwoSail Junk”.

    Ông Alexey Firsh, Nhà nghiên cứu bảo mật tại Nhóm Nghiên cứu và Phân tích Toàn cầu (GReAT) của Kaspersky cho biết: “Chúng tôi đã theo dõi hoạt động và cơ sở hạ tầng đặc biệt của tấn công này từ tháng 1 năm nay. Đây là chiến dịch tấn công có cách tiếp cận nhanh chóng để triển khai khung gián điệp tại Đông Nam Á. Chúng tôi đã nhìn thấy cách triển khai chiến lược này từ SpringDragon, cách nhắm mục tiêu địa lý của LightSpy tương tự như những cuộc tấn công APT của SpringDragon/LotusBlossom/Billbug, cũng như cơ sở hạ tầng và sử dụng backdoor “evora”. Mặc dù chiến dịch đã đạt đến đỉnh điểm vào tháng 2 - khi chúng tôi nhận thấy các liên kết dẫn đến trang web độc hại ở mức cao nhất – hoạt động tấn công vẫn diễn ra và đang được chúng tôi theo dõi.”

    :mw:


Chia sẻ trang này