Nhóm tin tặc khét tiếng Lazarus đứng sau chiến dịch gián điệp mạng Sharpshooter trên toàn thế giới
Với các bằng chứng mới được thu thập từ một máy chủ chỉ huy và kiểm soát (C2) liên quan đến chiến dịch được đặt tên là Sharpshooter, chiến dịch gián điệp mạng nhắm vào các tổ chức chính phủ, quốc phòng, hạt nhân, năng lượng và tài chính trên toàn thế giới ban đầu được phát hiện vào tháng 12 năm 2018 bởi các nhà nghiên cứu bảo mật tại McAfee, các nhà nghiên cứu đã xác định có liên quan đến nhóm tin tặc APT có biệt danh Lazarus đến từ Bắc Triều Tiên.
 |
| Nhóm tin tặc khét tiếng Lazarus đứng sau chiến dịch gián điệp mạng Sharpshooter trên toàn thế giới - CyberSec365.org |
Lazarus Group, còn được gọi là Hidden Cobra và Guardians of Peace, được cho là được hậu thuẫn bởi chính phủ Bắc Triều Tiên và được có liên quan đến vụ tấn công mã độc mã hoá tống tiền WannaCry toàn cầu năm 2017, vụ tấn công vào hệ thống ngân hàng SWIFT Banking hồi năm 2016, cũng như vụ tấn công vào Sony Pictures 2014.
Khi tiến hành phân tích máy chủ điều khiển và kiểm soát (C2), các nhà nghiên cứu còn phát hiện ra rằng chiến dịch này có thể đã bắt đầu từ tháng 9/2017, sớm hơn 1 năm so với chẩn đoán ban đầu của các nhà nghiên cứu.
Trong khi các cuộc tấn công trước đây chủ yếu nhắm vào các lĩnh vực viễn thông, chính phủ và tài chính ở Hoa Kỳ, Thụy Sĩ và Israel và các quốc gia nói tiếng Anh khác, bằng chứng mới được phát hiện cho thấy Sharpshooter đã mở rộng trọng tâm sang cơ sở hạ tầng quan trọng, với các cuộc tấn công gần đây nhất nhắm mục tiêu Đức, Thổ Nhĩ Kỳ, Vương quốc Anh và Hoa Kỳ.
Chiến dịch Sharpshooter: Chiến dịch gián điệp toàn cầu
Chiến dịch gián điệp toàn cầu lan rộng bằng cách gửi các tài liệu chứa các mã macro độc hại tới các mục tiêu thông qua Dropbox. Sau khi mở và tải xuống, macro tận dụng shellcode nhúng để đưa trình tải xuống Sharpshooter vào bộ nhớ của Microsoft Word.
 |
| Nhóm tin tặc khét tiếng Lazarus đứng sau chiến dịch gián điệp mạng Sharpshooter trên toàn thế giới - CyberSec365.org |
Trong giai đoạn 2 của cuộc tấn công, mã độc này tiếp tục tải xuống một mã độc khác có tên là Rising Sun, mã độc này sử dụng mã nguồn từ mã độc Trojan Duuzer - mẫu mã độc của nhóm Lazarus được phát hiện lần đầu tiên vào năm 2015 trong cuộc tấn công mạng tại Hàn Quốc. Sau đó, mã độc Rising Sun sẽ tiến hành rà quét hệ thống mạng, thu thập và mã hoá dữ liệu trên máy nạn nhân.
"Access to the adversary’s command-and-control server code is a rare opportunity. These systems provide insights into the inner workings of cyber attack infrastructure, are typically seized by law enforcement, and only rarely made available to private sector researchers," said Christiaan Beek, McAfee senior principal engineer, and lead scientist.
"The insights gained through access to this code are indispensable in the effort to understand and combat today’s most prominent and sophisticated cyber attack campaigns."
Bên cạnh đó, khi phân tích máy chủ C2, các nhà nghiên cứu còn phát hiện ra một kết nối xuất phát từ một quốc gia Châu Phi.
Máy chủ C2 C2 được sử dụng bởi những kẻ tấn công có phần core backend được viết bằng Hypertext Preprocessor (PHP) và Active Server Pages (ASP), "dường như là tùy chỉnh và duy nhất cho nhóm" và là một phần của hoạt động Lazarus kể từ năm 2017.
Máy chủ C2 C2 được sử dụng bởi những kẻ tấn công có phần core backend được viết bằng Hypertext Preprocessor (PHP) và Active Server Pages (ASP), "dường như là tùy chỉnh và duy nhất cho nhóm" và là một phần của hoạt động Lazarus kể từ năm 2017.
Nguồn: The Hacker News
Không có nhận xét nào