Hoàng Trung Hải Rating: 8.6 / 10 630 Người đánh Giá 986

Tin tặc APT10 tấn công các công ty Nhật Bản


(Không gian mạng) - Hãng bảo mật FireEye (Mỹ) vừa công bố báo cáo, vào tháng 07/2018, công cụ của hãng đã phát hiện và khóa hoạt động tấn công được cho là của nhóm APT10 (Menupass), nhắm vào cơ sở truyền thông Nhật Bản. 

APT10 là một nhóm gián điệp mạng Trung Quốc mà FireEye đã theo dõi từ năm 2009, và chúng có lịch sử nhắm vào các cơ quan Nhật Bản.

Trong chiến dịch này, tin tặc gửi đi email giả mạo chứa tài liệu độc để cài đặt cửa hậu (backdoor) UPPERCUT. Backdoor này nổi tiếng trong giới bảo mật với tên gọi ANEL, từng có bản beta hay bản RC (hậu beta) cho đến hiện tại.

Tin tặc APT10 tấn công các công ty Nhật Bản. (Ảnh internet)

Tin tặc APT10 tấn công các công ty Nhật Bản. (Ảnh internet)

Chiến dịch bắt đầu với tài liệu Microsoft Word chứa một macro VBA độc được đính kèm trong email giả mạo. Dù nội dung trong tài liệu không thể đọc được, nhưng tiêu đề tiếng Nhật có liên quan đến hàng hải, ngoại giao và những vấn đề với Triều Tiên.

Tài liệu mồi nhử Triều Tiên là một bài báo đã công khai trên mạng. Một điều đáng lưu ý là trên tài liệu mồi nhử Guatemala, tin tặc sử dụng cách đánh vần tiếng Nhật bất thường của người Guatemala. Kết quả tìm kiếm Google với cách đánh vần trên dẫn các chuyên gia đến một trang web sự kiện về bài giảng của Đại sứ Guatemala, diễn ra vào tháng 08/2018. Thông tin liên hệ trong phần cuối tài liệu cho thấy, những người quan tâm đến vấn đề Châu Mỹ Latin có thể là mục tiêu của chiến dịch này.

Tài liệu Work khởi điểm được bảo vệ bởi mật khẩu, như một cách để qua mặt phần mềm dò virus. Một khi mật khẩu (nằm trong email) được nhập, tài liệu được mở ra kèm yêu cầu người dùng kích hoạt macro độc.

FireEye kết luận: “Dù APT10 vẫn nhất quán nhắm mục tiêu vào ngành công nghiệp và vị trí địa lý giống nhau, nhưng mã độc mà nhóm sử dụng thì liên tục được cải tiến. Phiên bản UPPERCUT mới nhất này có một sự thay đổi đáng kể trong cách backdoor khởi chạy khóa mã hóa Blowfish, điều làm cho các chuyên gia khó khăn hơn để phát hiện và giải mã. Điều này cho thấy APT10 rất có khả năng duy trì và cập nhật mã độc của mình”.

Hồng Anh (Lược địch từ FireEye)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]