Chủ đề

(Thế giới) - GOTHIC PANDA là một nhóm tin tặc có tay nghề cao khác của Trung Quốc mà CrowdStrike Intelligence đã theo dõi trong năm 2014. Theo quan sát, nhóm tin tặc
này đã nhắm mục tiêu vào một số nạn nhân cấp cao trong các khu vực quan trọng bao gồm tài chính, công nghệ, các tổ chức phi chính phủ/ quốc tế và năng lượng.

GOTHIC PANDA (kỳ 3)

Chinese_hacker_MUTL

Mục lục
[ẩn]

GOTHIC PANDA là một nhóm tin tặc có tay nghề cao khác của Trung Quốc mà
CrowdStrike Intelligence đã theo dõi trong năm 2014. Theo quan sát, nhóm tin tặc
này đã nhắm mục tiêu vào một số nạn nhân cấp cao trong các khu vực quan trọng bao
gồm tài chính, công nghệ, các tổ chức phi chính phủ/ quốc tế và năng lượng. Vào đầu
tháng 05/2014, CrowdStrike đã quan sát thấy nhóm tin tặc này phát động một chiến
dịch phát tán tin nhắn lừa đảo được sử dụng để chuyển hướng các nạn nhân đến các
trang khai thác một lỗ hổng zero-day Use-After- Free trong Internet Explorer. Dưới
đây là bảng tóm tắt theo thời gian các sự kiện diễn ra trong chiến dịch này:

cctv_9876354634Bên cạnh việc nhắm vào các đối tượng trong các tổ chức bị nhắm mục tiêu, các tin
nhắn lừa đảo từ nhóm tin tặc này còn được quan sát thấy được gửi đến các danh sách
gửi thư với các chủ đề chuyên ngành như điện toán hiệu suất cao, phần mềm dữ liệu
đặc tả thời tiết và các chương trình chuẩn bị y khoa (pre-medical) tại các tổ chức giáo
dục.

Một tin nhắn lừa đảo đã quan sát thấy được trình bày dưới đây:

Nạn nhân trong các chiến dịch này đã bị nhiễm một đoạn mã độc (implant) mang tên
Pirpi, đã được sử dụng từ năm 2009 và bị phát hiện bởi phần mềm diệt virus. Pirpi
cung cấp cho kẻ tấn công một bộ tính năng RAT truyền thống, cho phép tin tặc trích
xuất và sử dụng các tập tin cùng với truy cập shell từ xa vào một hệ thống đã bị tấn
công.

img_5074_1GOTHIC PANDA được CrowdStrike Intelligence xem là một trong những nhóm tin tặc
tinh vi nhất bị theo dõi. Theo thời gian, Pirpi đã cải thiện để có được các đặc tính kỹ
thuật chống phân tích mạnh mẽ hơn và việc liên lạc với các máy chủ kiểm soát đã được cải thiện để ngăn chặn nguy cơ bị phát hiện trên hệ thống.

Trong quá trình điều tra GOTHIC PANDA, CrowdStrike Intelligence đã xác định được
một sự chồng chéo giữa Pirpi và một mã độc không còn tồn tại mang tên Dreammon
(hoặc DreamClick), có thể bị phát hiện bởi các chương trình diệt virus. Mã độc này có
một tính năng được thiếp lập phù hợp với mã độc adclicker hơn là hoạt động có chủ
đích. Vì mã độc adclicker phổ biến với các băng nhóm tội phạm hơn, nó mặc nhiên
được công nhận rằng, nếu băng nhóm đứng sau Dreammon cũng là kẻ đứng sau Pirpi
thì động cơ ban đầu của nhóm này có thể động cơ về mặt tài chính.

(Còn tiếp)

Ban biên tập

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hiểu biết về kẻ thù (10)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hiểu biết về kẻ thù (10)

Hiểu về kẻ thù để có thể bảo vệ hệ thống mạng hiệu quả hơn. Phát hiện, ngăn chặn và phòng vệ trước những kẻ tấn công tinh vi nhất hiện nay.           Tác động của...

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 9)

(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hoạt động đáng chú ý (Kỳ 9)

Lỗ hổng chưa từng được biết đến này trong trình duyệt Internet Explorer, cho phép thực thi mã thông qua mã JavaScript đặc biệt, khiến nó trở thành một công cụ lý tưởng cho các...

Thích và chia sẻ bài này trên:
Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về banbientap@trandaiquang.net