Breaking News

Nhóm tin tặc khét tiếng Lazarus phát tán mã độc nhắm vào các tổ chức tại Nga

BleepingComputer ngày 19/2/2019 đưa tin, nhóm tin tặc khét tiếng Lazarus gần đây đang nhắm mục tiêu vào các hệ thông tại Nga bằng các sử dụng các cửa hậu (Backdoor) có tên gọi là KEYMARBLE.

Theo đó, nhóm tin tặc khét tiếng Lazarus (hay còn được biết đên dưới một số tên gọi HIDDEN COBRA, Guardians of Peace, ZINC, và NICKEL ACADEMY), bị phát hiện lần đầu tiên vào năm 2009 bởi các nhà nghiên cứu bảo mật thuộc hãng bảo mật Kaspersky Labs. Nhóm tin tặc này được cho là có liên quan đến chính phủ Triều Tiên, khi liên tục tiến hành các cuộc tấn công nhắm vào các thế lực chống lại Triều Tiên. Một số vụ tấn công mà nhóm Lazarus đã thực hiện bao gồm vụ tấn công vào công ty giải trí Sony Picture Entertainment Inc và một số ngân hàng quốc gia trên toàn cầu, đánh cắp hàng chục triệu USD, Sau đó, nhóm này cũng chịu trách nhiệm trong vụ tấn công mạng vào Ngân hàng Bangladesh và Ngân hàng Far Eastern International Bank, lấy đi ít nhất 140 triệu USD. Tiếp sau đó, hàng loạt các cuộc tấn công vào các sàn giao dịch tiền ảo trong năm 2017 và 2018 đều được hãng bảo mật Group-IB của Nga nhận định là do nhóm này thực hiện
Nhóm tin tặc khét tiếng Lazarus phát tán mã độc nhắm vào các tổ chức tại Nga - cybersec365.org
Nhóm tin tặc khét tiếng Lazarus phát tán mã độc nhắm vào các tổ chức tại Nga - cybersec365.org
Mới đây, các nhà nghiên cứu mã độc đến từ US-CERT cho biết đã phát hiện mẫu mã độc KEYMARBLE được chèn trong các tập tin office có dấu hiệu liên quan đến nhóm tin tặc khét tiếng này và được phát tán mạnh tại Nga.
Theo các nhà nghiên cứu, một khi lây nhiễm vào hệ thống, mã độc này có thể tiến hành "truy xuất dữ liệu cấu hình, tải xuống các tệp bổ sung, thực thi mã lệnh tùy ý, sửa đổi registry, chụp ảnh màn hình và xóa dữ liệu".
Nhóm tin tặc khét tiếng Lazarus phát tán mã độc nhắm vào các tổ chức tại Nga - cybersec365.org
Nhóm tin tặc khét tiếng Lazarus phát tán mã độc nhắm vào các tổ chức tại Nga - cybersec365.org
Theo các nhà nghiên cứu bảo mật tại hãng bảo mật Check Point, hướng tấn công của mã độc này bao gồm 3 phần. Đầu tiên, tin tặc sẽ tiến hành tạo một tập tin .zip chứa 1 file pdf với tên gọi NDA_USA.pdf có chứa thỏa thuận NDA của StarForce Technologies, một công ty phần mềm của Nga cung cấp phần mềm chống sao chép, và 1 file Word có có chữa mã Macros độc hại. Bằng các nào đó, tin tặc lừa nạn nhân tải tập tin này về và mở file Word lên.
Lúc này, mã Macros độc hại sẽ tiến hành tải về một tập tin VBS Script từ Dropbox về và thực thi tập tin này.
Sau khi tập tin VBS Script thực thi, nó sẽ tải về 1 tập tin CAB từ hệ thống Dropzone Server, trích xuất ra tập tin mã độc và tiến hành chạy nó.
1. A ZIP file which contains two documents: a benign decoy PDF document and a malicious Word document with macros.
2. The malicious macro downloads a VBS script from a Dropbox URL, followed by the VBS script execution.
3. The VBS script downloads a CAB file from the dropzone sever, extracts the embedded EXE file (backdoor) using Windows’ “expand.exe” utility, and finally executes it.
 Hiện tại, có rất ít phần mềm Antivirus có thể phát hiện ra mẫu mã độc này của nhóm Lazarus.
Nhóm tin tặc khét tiếng Lazarus phát tán mã độc nhắm vào các tổ chức tại Nga - cybersec365.org
Nhóm tin tặc khét tiếng Lazarus phát tán mã độc nhắm vào các tổ chức tại Nga - cybersec365.org
Sau khi lây nhiễm vào hệ thống, mã độc này sẽ tiến hành rà quét hệ thống và gởi các dữ liệu ban đầu về cho tin tặc. Sau đó, nó sẽ ngưng hoạt động để chờ mã lệnh của tin tặc.
Hiện tại, các nhà nghiên cứu bảo mật thuộc hãng bảo mật FireEye đã phát hiện dấu hiệu tấn công của nhóm tin tặc Lazarus rất phức tạp tại 11 quốc gia trên toàn thế giới.

Không có nhận xét nào