Chủ đề

Phát hiện chiến dịch email giả mạo nhắm vào các tổ chức nhân đạo

(Không gian mạng) - Ngày 02/03, hãng bảo mật McAfee (Mỹ) báo cáo phát hiện chiến dịch Honeybee, chủ yếu nhắm vào Triều Tiên, đặc biệt là các tổ chức viện trợ nhân đạo có trụ sở ở Đông Nam Á và Châu Mỹ. Ngoài những nạn nhân ở Hàn Quốc bị tấn công, chiến dịch còn nhắm đến người dùng ở Việt Nam, Singapore, Nhật Bản, Indonesia, Canada và Argentina.

phong-chong-ma-doc-cho-pc-laptop-hieu-qua

Thủ phạm chiến dịch này dường như quan tâm đến vần đề ngoại giao liên Triều, tiếp tục tích cực triển khai các cuộc tấn công sử dụng mã độc mới và tài liệu thực thi mã độc có nội dung liên quan đến chủ đề chính trị Triều Tiên.

Các chuyên gia tin rằng nhóm gián điệp mạng này được nhà nước bảo trợ, đã hoạt động từ nhiều năm nay nhưng chỉ đến năm 2017 mới bị phát hiện, khi các nhà nghiên cứu phân tích 2 công cụ chính của nhóm là backdoor SYSCON và KONNI, những loại mã độc từng được sử dụng trong cuộc tấn công nhắm vào các tổ chức có liên hệ với Triều Tiên.

Đội nghiên cứu các mối đe dọa cấp cao của McAfee đã phát hiện và đặt tên cho chiến dịch là Honeybee dựa vào tên của người đã tạo ra tài liệu độc.

Những nghiên cứu trước đây về hoạt động của nhóm và báo cáo mới này của McAfee đều cho rằng thủ phạm là một người nói tiếng Hàn. Trong quá khứ, một vài nghiên cứu thậm chí còn gợi ý rằng những cuộc tấn công này được thực hiện từ Hàn Quốc.

Tuy nhiên, McAfee cho biết Hàn Quốc rất có thể không phải là thủ phạm. Theo McAfee, đây là hành động của một tin tặc quan tâm đến vấn đề ngoại giao của Hàn Quốc – Triều Tiên, đặc biệt là những thông tin tiếng Anh.

Chiến dịch bắt đầu bằng những email giả mạo chứa tài liệu hoặc đường dẫn đến tài liệu độc. Tài liệu này chứa một macro được thiết kế để thả và thực thi phiên bản mới của backdoor SYSCON, cho phép tin tặc tải tập tin lên một máy chủ và tải tập tin xuống hệ thống bị lây nhiễm để thực thi mã độc.

Một vài tài liệu được dùng để phát tán mã độc có nội dung liên quan đến Triều Tiên như tài liệu có tên “Liên đoàn Chữ thập đỏ và Trăng lưỡi liềm đỏ – Văn phòng Quốc gia của CHDCND Triều Tiên”. Tuy nhiên, một vài tài liệu khác có nội dung tùy thuộc vào mục tiêu hướng đến. Tin tặc cho hiển thị Google Docs giả mạo hoặc tin nhắn Microsoft Office yêu cầu người nhận kích hoạt chức năng soạn thảo và nội dung nếu muốn truy cập vào thông tin. Một khi người dùng làm theo, mã độc sẽ thực thi và tiến hành tải về máy nạn nhân.

Vài dropper được sử dụng trong chiến dịch Honeybee chỉ ngụy trang dưới dạng tài liệu. McAfee phát hiện 1 trong số đó là dropper MaoCheng có biểu tượng tài liệu, nhưng thực ra là một tập tin thực thi mã độc được đóng dấu chứng nhận Adobe bị đánh cắp. Một khi thực thi, MaoCheng mở tài liệu mồi nhử yêu cầu người dùng kích hoạt nội dung để truy cập vào thông tin.

Theo báo cáo, MaoCheng dường như là mã độc được thiết kế đặc biệt cho chiến dịch Honeybee và nó chỉ bị phát hiện 2 lần. Các nhà nghiên cứu phát hiện biến thể mới của backdoor SYSCON lần đầu vào ngày 17/01, nhưng hoạt động của chiến dịch còn phụ thuộc vào nhiều mã độc mới kể từ ít nhất tháng 11/2017. Các chuyên gia cho biết nhiều thành phần được phát triển dựa vào phiên bản trước của SYSCON nhưng lại khá độc đáo.

Chuyên gia phân tích của McAfee nhận định: “Chiến dịch sử dụng các mã độc rất đơn giản nhưng tốc độ đi vào hoạt động của nó đã cho thấy đây là một nhóm rất có tổ chức, và mang tầm quốc gia”.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên: