CMC cảnh báo chiến dịch APT mới lợi dụng bộ gõ Unikey tấn công người dùng Việt Nam

ictnews Hệ thống giám sát và phòng thủ mã độc tập trung CMDD của Công ty CMC Cyber Security vừa phát hiện mẫu mã độc sử dụng kỹ thuật mới lợi dụng phần mềm gõ chữ tiếng Việt Unikey để tấn công người dùng Việt Nam.

Xuất hiện chiến dịch APT mới lợi dụng bộ gõ Unikey tấn công người dùng Việt | Cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam | CMC Cyber Security cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam

Theo ghi nhận của CMC Cyber Security Lab, các cuộc tấn công APT hiện nay được tổ chức tinh vi với các kỹ thuật mới liên tục được cập nhật (Ảnh minh họa: Internet)

Chuyên gia Công ty CMC Cyber Security nhận định, chiến dịch tấn công có chủ đích APT mới được phát hiện là chiến dịch tấn công được đầu tư nghiên cứu kỹ, rất nguy hiểm vì Unikey hiện là bộ gõ tiếng Việt phổ biến nhất ở Việt Nam.

Theo phân tích của chuyên gia CMC Cyber Security, khi chạy Unikey sẽ tải layout bàn phím us - qua đó thực thi dll kdbus.dll của windows. Lợi dụng đặc điểm này, hacker đã chèn vào một tập tin kbdus.dll độc hại vào cùng thư mục với UnikeyNT.exe để tệp tin này được ưu tiên tải lên thay vì dll của windows. Vì thế khi Unikey được bật, thì đồng thời, mã độc cũng sẽ được thực thi theo mà không gây nghi ngờ gì cho người dùng.

Xuất hiện chiến dịch APT mới lợi dụng bộ gõ Unikey tấn công người dùng Việt | Cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam | CMC Cyber Security cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam

Kẻ tấn công cũng thay đổi thuộc tính về thời gian của tệp tin kdbus.dll về cùng với thời gian của file UnikeyNT.exe để người dễ dàng đánh lừa người dùng hơn. Thực chất file này đã được biên dịch vào khoảng đầu tháng 10 năm nay.

Khi tập tin mã độc kbdus.dll được chạy, nó sẽ đọc giá trị đặc biệt đã được chuẩn bị sẵn tại khóa registry HKEY_CLASS_ROOT\.kci\PersistenHandler có tên là "CB5JQLWSYQP2CWVRMJ8NB4CCUE1B8K4A" để lấy thông tin về C&C  (máy chủ điều khiển - PV) sẽ kết nối tới. Mã độc sau đó tiếp tục đọc và thực thi payload chính nằm trong cùng khóa trên có giá trị "F430D64D98E6EAC972380D568F080E08". Payload và các giá trị đặc biệt này đều được mã hóa và chỉ decrypt trong quá trình thực thi của mã độc, qua đó tránh được sự giám sát của các công cụ bảo mật.

Xuất hiện chiến dịch APT mới lợi dụng bộ gõ Unikey tấn công người dùng Việt | Cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam | CMC Cyber Security cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam
 

Sau khi tải payload lên bộ nhớ, mã độc sẽ thu thập các thông tin của máy tính nạn nhân. Các thông tin thu thập được sẽ được mã hóa và gửi đến C&C server. Sau khi có được thông tin cần thiết, mã độc sẽ thực thi command từ C&C để thực hiện các hành vi nguy hiểm khác.

Chuyên gia CMC Cyber Security khuyến cáo người sử dụng nên kiểm tra kỹ thư mục cài đặt Unikey, loại bỏ file kbdus.dll cùng thư mục hoặc sử dụng sản phẩm chống mã độc để bảo vệ máy tính của mình và chỉ sử dụng unikey chính chủ tải từ trang web chính thức của phần mềm Unikey.org.

Theo ghi nhận của CMC Cyber Security Lab, các cuộc tấn công APT hiện nay được tổ chức tinh vi với các kỹ thuật mới liên tục được cập nhật. Do đó, các cơ quan, tổ chức cần có ý thức cao trong việc đảm bảo an ninh an toàn thông tin cho hệ thống của mình, kịp thời cập nhật các cảnh báo của các đơn vị chức năng chuyên trách về an toàn, an ninh thông tin để có phương án rà soát, phòng chống và ứng phó trước các mối nguy hại có thể xảy ra.

Công ty CMC Cyber Security cũng cho biết hiện tại đơn vị này đã cập nhật mẫu mã độc kbdus.dll trong phần mềm phòng chống mã độc CMDD (CMC Malware Detection and Defense), CMC Internet Security, CMC Antivirus. Người dùng có thể tải phần mềm diệt virus miễn phí  CMC Antivirus tại đây.

APT (Advanced Persistent Threat) là hình thức tấn công mạng có mục tiêu cụ thể do tin tặc sử dụng các công nghệ tiên tiến và kỹ thuật lừa đảo để đột nhập mạng mục tiêu và dai dẳng tập trung vào mục tiêu đó trong thời gian dài cho đến khi cuộc tấn công diễn ra thành công (hoặc bị chặn đứng).

Hậu quả của các cuộc tấn công APT là vô cùng nặng nề: tài sản trí tuệ bị đánh cắp (bí mật thương mại hoặc bằng sáng chế…); thông tin nhạy cảm bị xâm nhập (dữ liệu cá nhân, hồ sơ nhân viên…); cơ sở hạ tầng quan trọng của tổ chức bị phá hủy (cơ sở dữ liệu, máy chủ quản trị…) hay toàn bộ tên miền của tổ chức bị chiếm đoạt.

Theo đánh giá của các chuyên gia, tấn công APT tại Việt Nam đang ngày càng gia tăng cả về số lượng và mức độ tinh vi. Thời gian gần đây, các cơ quan, doanh nghiệp hoạt động trong lĩnh vực an toàn, an ninh mạng tại Việt Nam đã phát hiện được nhiều chiến dịch tấn công mạnh mẽ vào các ngân hàng, tổ chức tài chính cũng như nhiều cơ quan khối Chính phủ.

 
List comment
 
Cơn sốt tiền ảo Bitcoin
icon

Từng bị coi là cơn sốt ảo, giá Bitcoin vẫn đang tăng theo từng năm. Thị trường “tiền điện tử” ngày càng lấn át các kênh đầu tư truyền thống.

 
Nhà Trắng sắp tổ chức hội nghị online bàn tình trạng thiếu chất bán dẫn
icon

Theo một báo cáo tổng hợp của Nhà Trắng, tham dự hội nghị trực tuyến này sẽ có CEO của các công ty như General Motors, Intel, Northrup Grumman và Alphabet / Google.

 
Trung Quốc phạt tập đoàn Alibaba hơn 2 tỷ USD do hành vi độc quyền
icon

Alibaba bị điều tra về quy định buộc các nhà bán lẻ nếu muốn bán hàng trên các nền tảng của tập đoàn này phải ký cam kết không đưa sản phẩm của họ lên các nền tảng mua sắm trực tuyến khác.

 
Cận cảnh hộ chiếu vaccine điện tử vừa mới ra mắt tại Mỹ
icon

Hộ chiếu vaccine đang được coi là liều thuốc để giải cứu ngành du lịch và hàng không toàn cầu, nhưng đòi hỏi một sự đồng nhất giữa hệ thống cơ sở dữ liệu của các quốc gia.

 
Một công ty sắp mua lại Toshiba với giá hơn 20 tỷ USD
icon

Sau khi đóng cửa nhiều mảng kinh doanh, Toshiba đang xem xét đề nghị bán mình cho một công ty tư nhân.

 
 
Kết nối bộ não với máy tính, Facebook lộ dữ liệu hơn nửa tỷ người dùng
icon

Kết nối bộ não với máy tính; Facebook lộ dữ liệu hơn nửa tỷ người dùng; Nga mạnh tay phạt TikTok;... là những thông tin nổi bật trong bản tin Công nghệ thứ 7 tuần này.

Việt-Hàn thí điểm dịch vụ xác nhận thông tin hàng hóa qua ứng dụng KPS
icon

KPS là một dịch vụ giúp người tiêu dùng Việt Nam kiểm tra thông tin cụ thể của hàng hóa Hàn Quốc được nhập khẩu vào Việt Nam, xác định đó có phải là hàng hóa giả hay không.

Mỹ chuẩn bị thông qua luật bán dẫn
icon

Chính quyền Tổng thống Biden sẽ thông qua dự luật bán dẫn nhằm tìm kiếm giải pháp để khắc phục tình trạng khan hiếm chip hiện nay.  

Gần 12.000 học sinh sắp thi chung kết giải Toán, Vật lý qua Internet
icon

Ngày 11/4, gần 12.000 học sinh từ 50 tỉnh, thành trong cả nước sẽ bước vào vòng chung kết cuộc thi giải Toán và Vật lý qua Internet - Violympic năm học 2020 – 2021.

Hệ sinh thái “Made by FPT” là động lực để FPT tăng trưởng biên lợi nhuận trong dài hạn
icon

Lãnh đạo FPT cho biết trong năm 2020, doanh thu từ hệ sinh thái 77 sản phẩm, giải pháp “Made by FPT” tăng trưởng 51% và hệ sinh thái này sẽ tiếp tục là một trong những động lực tăng trưởng mũi nhọn của tập đoàn trong dài hạn.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123