CMC cảnh báo chiến dịch tấn công APT vào các cơ quan hành chính Nhà nước Việt Nam
 

CMC cảnh báo chiến dịch tấn công APT vào các cơ quan hành chính Nhà nước Việt Nam

ictnews Vào khoảng đầu tháng 9 vừa qua, hệ thống CMC Threat Intelligence nhận được thông tin về cuộc tấn công mạng nhắm vào một số đơn vị hành chính các tỉnh phía Bắc Việt Nam.

CMC cảnh báo chiến dịch APT đang tấn công vào các cơ quan hành chính Nhà nước Việt Nam.

Công ty CMC Cyber Security đã có những phân tích sâu về những file mã độc được sử dụng trong chiến dịch tấn công này. Qua quá trình tìm hiểu và phân tích các dấu hiệu, mẫu mã độc phục vụ cho cuộc tấn công này, các chuyên gia phân tích mã độc của CMC Cyber Security nhận định nhóm tấn công có khả năng bắt nguồn từ Trung Quốc. Cụ thể, chuyên gia xác định được các văn bản độc hại tấn công vào Việt Nam trong chiến dịch này bắt nguồn từ nhóm Mustang Panda, một nhóm tin tặc được đánh giá rất cao bởi những chiến dịch rất bài bản, có kỹ thuật và chiến thuật đặc biệt.

Các mẫu nhận được sau khi phân tích có thể chia làm hai loại. Mỗi loại sử dụng một cách thực thi payload khác nhau nhưng vẫn có một số đặc điểm chung sau: Các sample được gửi tới nạn nhân được nén trong file zip để tránh bị chặn bởi các ứng dụng. Trong file nén có chứa file shortcut .lnk kèm theo đuôi .doc(ví dụ sample.doc.lnk) để đánh lừa người dùng. File lnk đính kèm theo file hta có thể thực thi được script. Script mở file document đính kèm cho người dùng và ngầm thực thi payload.

Với loại thứ nhất, mẫu là một file shortcut có phần mở rộng đuôi là .lnk, thường được đặt tên kèm theo đuôi .doc để đánh lừa người dùng do đuôi .lnk sẽ được Windows ẩn đi. Điểm đáng ngờ là ở phần target của file shortcut. Tuy nhiên, target của mẫu chứa một đoạn command khởi chạy tiến trình Mshta.exe để thực thi file hta nhúng kèm. Khi người dùng mở file lnk, máy sẽ thực thi command trong target của file lnk và thực thi file mshta.exe để mở chính nó.

Tương tự như loại một, loại hai cũng là một file lnk được nhúng vào trước file hta. Ở giai đoạn thực thi vbscript, đoạn script trong malware sẽ giải mã và lưu vào thư mục %temp% 2 file binary, 1 file là payload và 1 file document để hiển thị cho người dùng.

Dữ liệu người đã bị hacker tấn công

 

Mục đích của tất các các mẫu thu thập được đều là connect đến c&c server, download các mã độc nhằm đánh cắp thông tin người dùng và cung cấp chức năng điều khiển máy từ xa.

Điều đáng nói nhất là độ tinh xảo trong các file tài liệu được tạo ra nhằm đánh lừa người dùng. Khác với những mẫu AP ta phải đối mặt một vài năm trước, tài liệu “mồi” được viết rất cẩu thả, câu cú lủng củng, tài liệu chắp vá với hình thức không phù hợp với văn bản chính quy thì gần đây, độ chính xác và tỉ mỉ trong các văn bản tấn công rất dễ lừa được người dùng. Đặc biệt ngay cả trong nội dung, văn bản cũng được thể hiện rõ mục đích chính trị.

Trước việc ngăn chặn toàn diện chiến dịch tấn công APT rất khó khăn, các chuyên gia của CMC Cyber Security đưa ra khuyến cáo cho khách hàng các biện pháp ngăn ngừa, giảm thiểu và phát hiện sớm các tác hại của tấn công APT.

Đối với người dùng hãy cẩn trọng khi tiếp nhận email, đường link, tệp tin lạ; xác thực chính xác nguồn gửi an toàn, đáng tin cậy; sử dụng các công cụ Endpoint Security.

Đối với doanh nghiệp nên triển khai các hệ thống giám sát, phát hiện hoặc ngăn chặn xâm nhập trái phép; định kỳ đánh giá, kiểm định các mối nguy hại đối với hệ thống. Doanh nghiệp cần nâng cao nhận thức của từng cá nhân trong tập thể về tránh nhiệm đảm bảo an ninh, an toàn thông tin và có kế hoạch ứng phó với sự cố.

Hiện nay CMC Cyber Security đã có phần mềm chuyên biệt dành cho mã độc mã hoá dữ liệu bản mới nhất của CMC Antivirus/CMC Internet Security, người dùng cá nhân có thể cài phần mềm chống virus trên di động và máy tính để ngăn chặn kịp thời trước khi máy tính bị lây nhiễm.

Chủ đề : bảo mật
 
List comment
 
Nhiều nhãn hàng đồng loạt tẩy chay Facebook
icon

Hãng quần áo dã ngoại nổi tiếng The North Face là công ty mới nhất cam kết tẩy chay quảng cáo trên Facebook để phản đối cách xử lý thông tin sai lệch và phát ngôn thù địch.

 
Robot: Đồng minh hay kẻ thù của con người sau khủng hoảng COVID-19?
icon

Chuyên gia Frey cảnh báo mối lo ngại robot cướp đi việc làm của người lao động gia tăng khi nỗi lo sợ virus SARS-CoV-2 gây bệnh COVID-19 qua đi.

 
Vì sao App Store của Apple đang “ngồi trên lửa”?
icon

Công việc kinh doanh của Apple tiếp tục lọt vào tầm ngắm của các nhà chức trách khi mới đây châu Âu thông báo điều tra kho ứng dụng App Store có vi phạm luật cạnh tranh hay không.

 
Viết phần mềm bán qua mạng, thanh niên Hà Nội thu 140 tỷ
icon

Cục Thuế Hà Nội đã xác định có hơn 1.100 cá nhân hoạt động kinh doanh phần mềm, dịch vụ điện tử, trò chơi trên mạng có tổng thu nhập từ năm 2016 đến 2019 là 4.800 tỷ đồng.

 
Triệu phú đứng sau FaceApp tai tiếng là ai?
icon

Lan toả với tốc độ chóng mặt trên các nền tảng mạng xã hội, FaceApp kiếm được tiền ngay từ lúc phát hành.

 
 
Nếu xuất hiện vào thập niên 80, những ứng dụng online phổ biến nhất thế giới sẽ có diện mạo ra sao?
icon

Chắc chắn những ứng dụng này sẽ mang phong cách cổ điển một chút, retro một chút chứ không còn tối giản, tinh tế như hiện nay nữa.

Ông Trump cùng lúc bị “tuýt còi” trên cả Facebook, Twitter
icon

Các bài viết và quảng cáo của Tổng thống Mỹ Donald Trump trên Twitter, Facebook đều bị “gắn cờ” hoặc gỡ bỏ.  

11 Apple Store tại Mỹ đóng cửa do số ca Covid-19 tại Mỹ tăng trở lại
icon

Apple cho biết sẽ đóng cửa 11 Apple Store một lần nữa sau khi số ca nhiễm Covid-19 tại Mỹ có xu hướng tăng trở lại.  

Thêm 2 nền tảng “Make in Vietnam” hỗ trợ đẩy nhanh chuyển đổi số tại Việt Nam
icon

Nền tảng chuyển đổi giọng nói tiếng Việt thành văn bản VAIS và nền tảng giọng nói nhân tạo tiếng Việt tự nhiên Vbee là 2 nền tảng số “Make in Vietnam” được Bộ TT&TT chọn giới thiệu nhằm góp phần thực hiện chương trình chuyển đổi số quốc gia.

Phát huy vai trò của bưu điện trong chính quyền điện tử
icon

Mạng lưới bưu điện đã thể hiện rõ vai trò cánh tay nối dài của các cơ quan hành chính nhà nước. Mục tiêu xa hơn nữa, bưu điện sẽ là nhân tố tích cực và quan trọng của chính quyền điện tử, chính phủ điện tử.

 
123

Giấy phép hoạt động báo chí: Số 09/GP-BTTTT, Bộ Thông tin và Truyền thông cấp ngày 07/01/2019.

Tòa soạn: Tầng 7, Tòa nhà Cục Tần số Vô tuyến điện, 115 Trần Duy Hưng, Quận Cầu Giấy, Hà Nội

Điện thoại: 024 3 936 9966 - Fax: 024 3 936 9364

Hotline nội dung: 0888 911 911 - Email: toasoan@ictnews.vn

123