Tin tặc CactusPete hoành hành tại Châu Âu

15/08/2020 13:16 Công nghệ số

 Một nhóm mối đe dọa từ (APT) nâng cao đã phát triển Bisonal để sử dụng trong các cuộc tấn công chống lại các tổ chức tài chính và quân sự trên khắp châu Âu. Lần đầu tiên được phát hiện vào năm 2013, CactusPete APT – còn được theo dõi là Karma Panda – có liên quan đến các chiến dịch tội phạm mạng trên khắp châu Âu, Nga, Nhật Bản và Hàn Quốc. 

tin tặc tại Châu Âu
Tin tặc CactusPete hoành hành tại Châu Âu

Các hoạt động gián điệp tại Châu Âu có thuộc quân đội Trung Quốc?

 Các nhà nghiên cứu của Cisco Talos nói rằng nhóm có tên nội bộ là Tonto Team, có khả năng là một APT do nhà nước tài trợ thuộc quân đội Trung Quốc tập trung vào hoạt động thu thập thông tin tình báo và gián điệp. Các nhà nghiên cứu của Kasperksy Labs cũng có cùng quan điểm khi nói đến các hoạt động gián điệp. Thêm rằng CactusPete cũng đã được biết là tấn công các tổ chức ngoại giao và cơ sở hạ tầng, nhóm nghiên cứu nói rằng nhóm này dường như đang theo đuổi thông tin “rất nhạy cảm”. 

Gián điệp Trung Quốc

 Vào thứ Năm, Kasperksy đã công bố bản cập nhật về các hoạt động của APT. Một chiến dịch mới tập trung vào các nhóm quân sự và tài chính trên khắp Đông Âu đang diễn ra, cùng với việc sử dụng một biến thể cửa hậu Bisonal mới. Trở lại vào tháng 3, Talos đã ghi lại một trong những chủng Trojan Bisonal mới nhất đang được sử dụng, một yếu tố thú vị trong bộ công cụ của APT xem xét tuổi của phần mềm độc hại. Bisonal đã được phát triển tích cực trong hơn một thập kỷ. Trojan sử dụng DNS động để giao tiếp với máy chủ lệnh và kiểm soát (C2), đã liên tục cải tiến các mô-đun làm xáo trộn và trong các phiên bản mới nhất, cũng bao gồm mã hóa XOR và hỗ trợ cho máy chủ proxy, cùng các tính năng khác. 

Backdoor có những khả năng gì?

 Là một công cụ gián điệp mạng, backdoor có khả năng duy trì sự bền bỉ trên một máy bị nhiễm, quét ổ đĩa, liệt kê và trích xuất các tệp quan tâm, xóa nội dung, giết các quy trình hệ thống và thực thi mã, chẳng hạn như khởi chạy chương trình và trình bao từ xa. Một tinh chỉnh gần đây là việc sử dụng mã Cyrillic được mã hóa cứng trong các thao tác chuỗi và chiến dịch nói chung, do các ngôn ngữ được sử dụng bởi các mục tiêu dự kiến ​​trên khắp Đông Âu. Các nhà nghiên cứu lưu ý: “Điều này rất quan trọng, ví dụ, trong chức năng trình bao từ xa, để xử lý chính xác đầu ra Cyrillic từ các lệnh đã thực thi,” các nhà nghiên cứu lưu ý. 

  Bisonal cũng được sử dụng song song với keylogger và các phiên bản tùy chỉnh của Mimikatz để lọc dữ liệu và đánh cắp thông tin đăng nhập của người dùng. Các chiến dịch trước đây sử dụng các phương pháp lừa đảo, chẳng hạn như email có vẻ hợp pháp với các tệp đính kèm độc hại, để xâm nhập máy của nạn nhân. Kaspersky nói  vectơ tấn công ban đầu tại chiến dịch châu Âu là không xác định, nhưng có khả năng là lừa đảo  trực tuyến, dựa trên các cuộc vượt ngục trước đó của CactusPete. Kaspersky cũng lưu ý rằng mặc dù CactusPete không phức tạp như nhiều APT khác, nhưng có thể những kẻ tấn công mạng gần đây đã được tăng cường hỗ trợ và tài nguyên mới do việc triển khai mã và công cụ phức tạp hơn, bao gồm cả phần mềm máy chủ ShadowPad , trong suốt năm 2020. 

Top 15 Sàn Giao Dịch Forex Uy Tín Hàng Đầu Tại Việt Nam Năm 2021

Top 15 Sàn Giao Dịch Forex Uy Tín Hàng Đầu Tại Việt Nam Năm 2021

Top 10 Crypto Currency

Chương Trình Bonus 1% Tài Khoản Cho Lần Nạp Đầu Tiên

Vay nhanh với Vietcombank