Phát hiện nhóm gián điệp mạng mới Gallmaker nhắm mục tiêu chính phủ và quốc phòng

.

(Không gian mạng) - Ngày 10/10, hãng bảo mật Symantec (Mỹ) báo cáo phát hiện một nhóm gián điệp mạng mới, đã và đang nhắm mục tiêu vào ngành quốc phòng, quân sự và chính phủ từ năm 2017 mà không bị phát hiện.

tin-tac-15321838767491235116782

Nhóm tin tặc được đặt tên “Gallmaker”, đã phát động các cuộc tấn công nhắm vào một số đại sứ quán nằm ở nước ngoài của một quốc gia Đông Âu, và các tổ chức quân sự và quốc phòng ở Trung Đông.

Các nhà nghiên cứu Symantec lưu ý các cuộc tấn công của Gallmaker nhắm mục tiêu cụ thể, với tất cả các nạn nhân bị phát hiện đều có liên quan đến chính phủ, quân sự hoặc quốc phòng.

Nhóm đã hoạt động kể từ ít nhất là tháng 12/2017 và các cuộc tấn công gần đây nhất xuất hiện vào tháng 6/2018 – tăng hoạt động đột biến vào tháng 04/2018. Gallmaker chỉ tập trung vào hoạt động gián điệp mạng và bị các chuyên gia nghi ngờ nhóm có thể được tài trợ bởi một quốc gia nào đó.

Khi được SecurityWeek hỏi về mối liên hệ với những kẻ tấn công khác và vị trí của nhóm tin tặc này, Symantec cho biết hãng theo dõi Gallmaker như một nhóm gián điệp mạng mới và không có thông tin để chia sẻ về việc ai có thể đứng sau vụ tấn công.

Symantec cho biết Gallmaker rất thú vị vì nhóm không sử dụng bất kỳ mã độc thực sự nào trong các chiến dịch mà thay vào đó là sử dụng các công cụ có sẵn được công khai, một dạng như “có gì dùng nấy” trong ngành này.

Các cuộc tấn công của Gallmaker bắt đầu bằng một tài liệu Office được xây dựng đặc biệt và phát tán qua qua email lừa đảo. Các tài liệu được thiết kế để khai thác giao thức Dynamic Update Exchange (DDE) để thực hiện các lệnh trong bộ nhớ của thiết bị mục tiêu.

“Vì chỉ chạy trong bộ nhớ, những kẻ tấn công tránh để lại dấu vất trên đĩa, khiến cho các hoạt động của nhóm trở nên khó phát hiện”, nhóm điều tra Symantec viết trong một bài đăng blog.

Microsoft đã vô hiệu hóa DDE năm 2017 sau khi phát hiện tin tặc đang bắt đầu khai thác nó để tấn công. Tuy nhiên, Symantec cho biết các nạn nhân của Gallmaker đã không cài đặt đặt bản cập nhật của Microsoft đã vô hiệu hóa tính năng nguy hại này.

Một khi đạt quyền truy cập vào một máy tính, những kẻ tấn công sử dụng nhiều công cụ khác nhau để đạt được mục tiêu của họ. Danh sách này bao gồm một reverse shell reverse_tcp từ Metasploit, bộ lập lịch WindowsRoamingToolsTask PowerShell, giao diện điều khiển WinZip và một thư viện mã nguồn mở có tên Rex PowerShell, giúp tạo các script PowerShell cho các khai thác Metasploit.

Các nhà nghiên cứu cũng nhận thấy nhóm đã xóa một số công cụ của họ khỏi các máy bị xâm nhất khi đã hoàn tất nhiệm vụ, có khả năng là để che giấu các hoạt động của nhóm.

Lâm Quang Dũng (Lược dịch từ: Security Week)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Xem thêm: Tiểu sử Thủ tướng Nguyễn Xuân Phúc, An ninh quốc phòng
Theo dõi Thủ tướng qua Facebook
Thích và chia sẻ bài này trên:
Tweet
Tags: tấn công mạng, tin tặc
Nguồn: nguyenxuanphuc.org