Nguyễn Xuân Phúc » An Ninh - Quốc Phòng » Phát hiện chiến dịch gián điệp mạng tấn công nhà thầu quốc phòng Thổ Nhĩ Kỳ

(Không gian mạng) - Ngày 23/01, hãng bảo mật RiskIQ (Mỹ) báo cáo phát hiện chiến dịch gián điệp mạng nhắm vào một nhà thầu quốc phòng Thổ Nhĩ Kỳ.

tin-tac

Theo các nhà nghiên cứu RiskIQ, chiến dịch đã bắt đầu từ tháng 11/2017, phát tán mã độc truy cập từ xa (RAT) Remcos qua tập tin đính kèm trong email gửi đi. Mã độc Remcos có khả năng theo dõi thao tác bàn phím, chụp ảnh màn hình, thu âm âm thanh và hình ảnh từ một webcam hoặc microphone, cài đặt/gỡ bỏ các chương trình và quản lý tài liệu.

Điều thú vị là Remcos còn có khả năng biến máy tính của nạn nhân thành một proxy SOCKS5 cho chính hệ thống mạng, và che dấu máy chủ C&C thật của mình.

Báo cáo cho biết, nhóm này sử dụng các phương thức phổ biến như phishing, gửi đi hàng loạt email giả mạo đính kèm hoặc chứa tập nén để thực thi mã độc.

Email lừa đảo được ngụy trang trông có vẻ như được gửi từ một cơ quan thuế của chính phủ Thổ Nhĩ Kỳ, với nội dung thông báo người nhận có thể được giảm một khoản thuế nếu điền thông tin vào tài liệu đính kèm. Dù tên miền địa chỉ gửi gerlirler.gov.tr là có thật, nhưng hệ thống xác thực email SPF (Sender Policy Framework) lại không thể xác nhận được.

RiskIQ nhận định, chúng ta có thể thấy chiến dịch lần này không chỉ dừng ở đây mà còn có thể được tin tặc sử dụng để thực hiện các cuộc tấn công khác sau này. Việc huy động máy tính nạn nhân vào các proxy SOCKS5 để che dấu máy chủ C&C thật của tin tặc cho thấy cơ sở hạ tầng tấn công của nhóm này là rất lớn.

Lâm Quang Dũng (Lược dịch từ: Infosecurity Magazine)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: