Chủ đề

(Không gian mạng) - Ngày 22/06, hãng bảo mật Palo Alto Networks (Mỹ) báo cáo phát hiện một chiến dịch mới của nhóm gián điệp mạng Tick APT, nhắm vào một loại ổ USB bảo mật do hãng quốc phòng Hàn Quốc phát triển.

tick-APT-malware

Nhóm Tick APT hoạt động ít nhất đã 10 năm, còn được gọi với cái tên là Bronze Butler, lần đầu bị phát hiện vào năm 2016 bởi hãng bảo mật Symantec (Mỹ), và có liên quan đến Trung Quốc. Chuyên gia nhấn mạnh khả năng của nhóm về việc khám phá ra một lỗ hổng zero-day trong phần mềm được sử dụng ở các nước như Nhật Bản và Hàn Quốc.

Nhóm này đã nhắm mục tiêu một loại ổ USB bảo mật do một công ty quốc phòng Hàn Quốc phát triển, với ý định xâm nhập vào hệ thống air-gapped (hệ thống không kết nối Internet).

Theo báo cáo, Tick APT chủ yếu nhắm mục tiêu Nhật Bản và Hàn Quốc, nhưng nhóm này cũng có thể tấn công các tổ chức ở Nga, Singapore và Trung Quốc.

Các chuyên gia phát hiện nhóm này sử dụng nhiều công cụ độc quyền và mã độc tùy chỉnh, trong đó có Minzen, Daserf (Nioupale) và HomamDownloader.

Mã độc được dùng trong chiến dịch này của Tick APT đặc biệt được phát triển để nhắm vào những hệ thống chạy hệ điều hành Window XP hoặc Windows Server 2003.

Theo báo cáo, mã độc được phát triển để lây nhiễm máy tính chạy phiên bản Microsoft Windows cũ trên các hệ thống Air-gapped thường được sử dụng trong mạng lưới chính phủ và quốc phòng.

Các chuyên gia cho biết thêm, họ vẫn chưa thấy có báo cáo công khai nào cho đến bây giờ, có thể vì tin tặc đã từng sử dụng kỹ thuật này nhiều năm trước.

Các nhà phân tích tin rằng tin tặc đã cố gắng lây nhiễm ổ USB bảo mật để cài mã độc vào một số thiết bị lây nhiễm, được chứng nhận bảo mật bởi Trung tâm Chứng chỉ Bảo mật Công nghệ Thông tin Hàn Quốc (ITSCC).

Báo cáo của PaloAlto Networks chỉ ra, Tick APT cũng phát triển một chuỗi mã độc có tên SymonLoader, mà một khi được cài vào máy Windows phiên bản cũ sẽ làm cho máy tự tìm kiếm các ổ USB đặc biệt.

Tin tặc sử dụng SymonLoader để tải và thực thi mã độc từ ổ USB bảo mật. Hiện tại vẫn chưa rõ tin tặc xâm nhập vào các ổ USB này như thế nào.

“Vì chúng tôi không có bất kỳ ổ USB bị lây nhiễm hay tập tin độc hại nào, nên chúng tôi không thể xác định cách thức mà những ổ USB này bị lây nhiễm”, Palo Alto báo cáo. “Đặc biệt, chúng tôi không rõ liệu tin tặc có xâm nhập thành công vào chuỗi cung ứng thiết bị, hoặc giai đoạn sau sản xuất đã bị tấn công và phát tán mã độc bằng những cách thức khác như social engineering hay không”.

Trong quá trình điều tra, chuyên gia tại Palo Alto Networks phát hiện một mẫu mã độc thú vị trong ngày 21/01/2018, đó là một phiên bản tiếng Nhật của trò chơi GO và thả mã độc.

Chuyên gia đã liên kết mẫu này với nhóm Tick vì shellcode trong trò chơi tiếng Nhật độc hại hoàn toàn giống với những gì tìm thấy được trong những chương trình độc của Hàn Quốc.

Lâm Quang Dũng (Lược dịch từ: Security Affairs)

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]