Security Week: Nhóm tin tặc Nga Gamaredon tấn công Ukraine bằng mã độc mới

Ngày 27/02, hãng bảo mật Palo Alto Networks (Mỹ) báo cáo về các cuộc tấn công mới nhất nhắm vào Ukraine của nhóm gián điệp mạng Nga biệt danh “Gamaredon”, cảnh báo nhóm này đã chuyển sang sử dụng mã độc tùy chỉnh

Nhóm Gamaredon hoạt động ít nhất là từ giữa năm 2013, nhưng chỉ được hãng bảo mật LookingGlass (Mỹ) báo cáo phát hiện vào tháng 04/2015. Phân tích của LookingGlass tập trung vào Operation Armageddon, một chiến dịch tấn công quan chức thực thi pháp luật , quân sự và Chính phủ Ukraine.

Nhóm Gamaredon sử dụng email lừa đảo để phát tán các công cụ truy cập từ xa (RAT) phổ biến, chẳng hạn như Remote Manipulator System (RMS) và UltraVNC.

Cơ quan An ninh Ukraine (SBU) thời điểm này đã đưa ra tuyên bố cáo buộc các cuộc tấn công trên cho các đơn vị của Cơ quan Anh ninh Quốc gia Nga. Hơn nữa, bằng chứng được tìm thấy bởi các nhà nghiên cứu cũng cho thấy phần mềm độc mà tin tặc sử dụng được xây dựng dựa trên một hệ điều hành của Nga.

Trong cuộc tấn công được LookingGlass phân tích năm 2015, nhóm Gamaredon sử dụng email lừa đảo để phát tán các công cụ truy cập từ xa (RAT) phổ biến, chẳng hạn như Remote Manipulator System (RMS) và UltraVNC.

Video đang HOT

Theo báo cáo mới của Palo Alto Networks, Gamaredon đã bắt đầu sử dụng mã độc tùy chỉnh mới thay thế cho các RAT công khai mà nhóm thường sử dụng. Tuy nhiên, hãng bảo mật chưa xác định cuộc tấn công mới nhất này nằm trong chiến dịch Operation Armageddon hay đây là một chiến dịch mới của nhóm.

Những mã độc mới được nhóm sử dụng có khả năng tải về và thực thi các payload bổ sung, quét hệ thống bị nhiễm để phát hiện các tập tin cụ thể, chụp ảnh màn hình, và thực hiện lệnh từ xa. Trong khi các công cụ cũ của nhóm dễ dàng bị phát hiện bởi các sản phẩm chống mã độc (ví dụ TROJ_GAMAREDON, Trojan.Gamaredon), thì mã độc mới hầu như không bị phát hiện hoặc không thể nhận diện.

“Chúng tôi cho rằng khả năng này có thể do tính chất modul của mã độc, cụ thể là việc sử dụng nhiều batch script trong mã độc, và lợi dụng các ứng dụng và công cụ hợp pháp (như wget) để thực hiện ý đồ”, các nhà nghiên cứu Palo Alto Networks cho biết.

Mặc dù đã áp dụng mã độc mới, nhưng Gamaredon vẫn dùng các tập tin nén tự bung (self-extracting archives – SFX) và nhiều cơ sở hạ tầng tương tự như các hoạt động của nhóm trong lần đầu bị phát hiện.

Hiện tại, nhiều nhóm tin tặc Nga đã bị cáo buộc gây ra một số chiến dịch nhắm mục tiêu tổ chức Ukraine, trong đó có vụ tấn công gây thiệt hại cho ngành năng lượng của nước này.

Lục Lam (dịch từ Security Week)

Theo NTD

Cơ quan tình báo Na Uy cáo buộc tin tặc Nga tấn công mạng Theo AFP, ngày 3/2, cơ quan tình báo Na Uy PST cho biết Bộ Ngoại giao, quân đội và các cơ quan khác của nước này đã trở thành mục tiêu tấn công mạng gần đây của nhóm tin tặc APT 29 có quan hệ với nhà chức trách Nga. Trả lời kênh TV2, quan chức PST Arne Christian Haugstoyl cho hay: "Chín...