Tổng hợp tin tức về tình hình an ninh mạng trong nước và thế giới
27/04/2023
𝗠𝗼̣̂𝘁 𝗻𝗵𝗼́𝗺 𝗵𝗮𝗰𝗸𝗲𝗿 𝗧𝗿𝘂𝗻𝗴 𝗤𝘂𝗼̂́𝗰 đ𝘂̛𝗼̛̣𝗰 𝗽𝗵𝗮́𝘁 𝗵𝗶𝗲̣̂𝗻 𝘀𝘂̛̉ 𝗱𝘂̣𝗻𝗴 𝗯𝗶𝗲̂́𝗻 𝘁𝗵𝗲̂̉ 𝗣𝗶𝗻𝗴𝗣𝘂𝗹𝗹 𝘁𝗿𝗲̂𝗻 𝗵𝗲̣̂ đ𝗶𝗲̂̀𝘂 𝗵𝗮̀𝗻𝗵 𝗟𝗶𝗻𝘂𝘅 𝘁𝗿𝗼𝗻𝗴 𝗰𝗮́𝗰 𝗰𝘂𝗼̣̂𝗰 𝘁𝗮̂́𝗻 𝗰𝗼̂𝗻𝗴 𝗺𝗮̣𝗻𝗴.
Một nhóm hacker theo chủ nghĩa dân tộc Trung quốc được đặt tên là Alloy Ta**us đang sử dụng một biến thể của backdoor gọi là PingPull trên hệ điều hành Linux cùng với một công cụ mới chưa được tài liệu hóa được gọi là Sword2033.
Đó là các khám phá mới nhất từ Palo Alto Networks đơn vị 42 (unit 42) , phát hiện ra hoạt động tấn công mạng độc hại gần đây được thực hiện bởi nhóm này nhắm vào Nam Phi và Nepal.
Alloy Ta**us là một nhóm tấn công mạng được đặt tên theo chủ đề chòm sao, nổi tiếng vì tấn công vào các công ty viễn thông từ sớm nhất là năm 2012. Microsoft đã theo dõi nhóm này dưới tên Granite Typhoon (trước đây là Gallium).
Tháng trước, đối thủ của họ được cho là một chiến dịch được gọi là Tainted Love, nhắm vào các nhà cung cấp viễn thông ở Trung Đông như một phần của một hoạt động quy mô lớn được gọi là Soft Cell
Các cuộc tấn công gián điệp mạng gần đây của Alloy Ta**us đã mở rộng phạm vi đối tượng của họ để bao gồm cả các tổ chức tài chính và chính phủ.
PingPull, được Unit 42 ghi nhận lần đầu vào tháng 6 năm 2022, là một loại Trojan truy cập từ xa sử dụng giao thức ICMP để thực hiện việc điều khiển và kiểm soát đối tượng.
Phiên bản của phần mềm độc hại cho hệ điều hành Linux có các chức năng tương tự như phiên bản của Windows, cho phép nó thực hiện các thao tác với tập tin và chạy các lệnh tùy ý từ máy chủ điều khiển (command-and-control server) bằng cách truyền một ký tự viết hoa duy nhất là A, K, hoặc M.
Unit 42 còn cho biết : "Ngoài việc thực thi, phiên bản malware này được cấu hình để giao tiếp với tên miền yrhsywu2009.zapto[.]org qua cổng 8443 để điều khiển và điều khiển.Nó sử dụng thư viện liên kết tĩnh OpenSSL (OpenSSL 0.9.8e) để tương tác với tên miền qua HTTPS."
Thú vị là mô hình thực thi ra lệnh và điều khiển (command-and-control) của PingPull giống với China Chopper, một web shell được sử dụng rộng rãi bởi các nhóm tấn công mạng Trung Quốc, cho thấy nhóm đe dọa đang tái sử dụng mã nguồn hiện có để tạo ra các công cụ có thể tùy chỉnh.
Một cuộc kiểm tra kỹ hơn của miền được đề cập ở trên cũng đã phát hiện ra sự tồn tại của một tệp ELF khác (tức là Sword2033) hỗ trợ ba chức năng cơ bản, bao gồm tải lên và rút ra tệp và thực thi các lệnh.
Mối liên kết của malware này với Alloy Ta**us xuất phát từ việc tên miền được phân giải thành một địa chỉ IP trước đây đã được xác định là một bằng chứng của hoạt động tấn công liên quan đến một chiến dịch trước đó nhắm vào các công ty hoạt động ở Đông Nam Á, châu Âu và châu Phi.
Việc nhắm mục tiêu Nam Phi, theo công ty an ninh mạng, diễn ra trong bối cảnh quốc gia này đã tổ chức một cuộc diễn tập hải quân chung kéo dài 10 ngày với Nga và Trung Quốc vào đầu năm nay.
"Alloy Ta**us vẫn là mối đe dọa đang hoạt động đối với các tổ chức viễn thông, tài chính và chính phủ trên khắp Đông Nam Á, châu Âu và châu Phi," Unit 42 nói.
"Việc xác định một biến thể của phần mềm độc hại PingPull cho hệ điều hành Linux, cùng với việc sử dụng gần đây của backdoor Sword2033, cho thấy nhóm tiếp tục phát triển hoạt động của mình để hỗ trợ các hoạt động gián điệp của chúng."
