Tin tặc Việt Nam Sen Biển - APT23 vẫn tích cực hoạt động (Ngọc Lan)

Lượt xem: 583

“…Các nhóm nguy hiểm như OceanLotus đang tích cực cập nhật các biến thể phần mềm độc hại nhằm cố gắng tránh bị phát hiện và cải thiện tính bền bỉ…

tintac_oceanlotus

Họ sẽ “có khả năng” trở thành một trung tâm tội phạm mạng trong tương lai và là một thủ phạm gián điệp mạng lớn trong thập kỷ tới. 

Microsoft: Sen Biển tung mã độc trong khai thác tiền ảo

Microsoft đã tiết lộ rằng nhóm tin tặc được chính phủ Việt Nam hậu thuẫn đang triển khai phần mềm độc hại khai thác tiền điện tử cùng với các hoạt động gián điệp mạng thông thường của họ.

Báo cáo nêu bật xu hướng ngày càng tăng trong ngành công nghiệp an ninh mạng khi ngày càng có nhiều nhóm hack do nhà nước hậu thuẫn cũng đang nhúng chân vào các hoạt động tội phạm mạng thông thường, khiến việc phân biệt tội phạm có động cơ tài chính với các hoạt động thu thập thông tin tình báo trở nên khó khăn hơn.

Nhóm Bảo vệ Đe dọa Tình báo của Bộ phận bảo vệ Microsoft 365 từ tên BISMUTH đã truy tìm ra nhóm tin tặc Việt Nam hoạt động từ năm 2012 và được biết đến với tên APT32 và Sen Biển – OceanLotus.

“BISMUTH đã tiến hành các cuộc tấn công gián điệp mạng ngày càng phức tạp kể từ năm 2012, sử dụng cả công cụ tùy chỉnh và mã nguồn mở để nhắm mục tiêu vào các tập đoàn đa quốc gia lớn, chính phủ, dịch vụ tài chính, tổ chức giáo dục và các tổ chức nhân quyền và dân quyền”, Microsoft cho biết trong một bài đăng trên blog cuối ngày thứ Hai.

Trong các chiến dịch từ tháng 7 đến tháng 8 năm 2020, nhóm tin tặc này đã phát triển các máy đào tiền ảo Monero trong các cuộc tấn công nhắm vào cả khu vực tư nhân và các tổ chức chính phủ ở Pháp và Việt Nam.

Microsoft thông báo: “Các chiến dịch của BISMUTH, một công cụ của nhà nước, tận dụng các cảnh báo có mức độ ưu tiên thấp mà các máy đào tiến ảo gây ra để thử xâm nhập mà không bị phát hiện và tồn tại vĩnh viễn,” nhóm Microsoft thông báo.

Đầu tiên là BISMUTH đang sử dụng phần mềm độc hại khai thác tiền ảo, thường được kết hợp với các hoạt động tội phạm mạng, để ngụy trang một số cuộc tấn công của họ từ những người ứng phó sự cố và lừa họ tin rằng các cuộc tấn công của họ là các cuộc xâm nhập ngẫu nhiên có mức độ ưu tiên thấp.

BISMUTH cố gắng giành quyền truy cập căn bản bằng cách gửi các email độc hại được chế tạo đặc biệt từ tài khoản Gmail dường như được tạo riêng cho chiến dịch xâm nhập.

BISMUTH cũng đang thử nghiệm những cách thức mới để tạo ra doanh thu từ các hệ thống mà họ đã xâm nhập trong các hoạt động gián điệp mạng thông thường của họ. Trong những năm gần đây, các nhóm tin tặc do nhà nước Trung Quốc, Nga, Iran và Triều Tiên bảo trợ cũng đã tấn công các mục tiêu với mục đích duy nhất là kiếm tiền vì lợi ích cá nhân hơn là gián điệp mạng.

Các nhóm này thường hoạt động dưới sự bảo vệ trực tiếp của chính quyền quốc gia của họ, hoặc là nhà thầu hoặc là nhân viên tình báo, và họ cũng hoạt động từ bên trong các quốc gia không có hiệp ước dẫn độ với Hoa Kỳ, cho phép họ thực hiện bất kỳ cuộc tấn công nào họ muốn và biết rằng họ hầu như không phải gánh chịu hậu quả.

Với việc Việt Nam cũng đang thiếu hiệp ước dẫn độ với Mỹ, việc BISMUTH bành trướng sang lĩnh vực tội phạm mạng được coi là có họ sẽ “có khả năng” trở thành một trung tâm tội phạm mạng trong tương lai và là một thủ phạm gián điệp mạng lớn trong thập kỷ tới.

Xâm nhập  macOS để lấy cắp thông tin

Trend Micro đã báo cáo một loạt các cuộc tấn công phần mềm độc hại nhắm mục tiêu vào macOS gần đây nhằm cài đặt các cửa hậu để lấy cắp thông tin cá nhân nhạy cảm. Công ty bảo mật đã phát hiện ra rằng một biến thể phần mềm độc hại mới đang được sử dụng trực tuyến và được hỗ trợ bởi một nhóm tin tặc nhà nước có tên là  Sen Biển, hay AKTP2 và có trụ sở tại Việt Nam.

Theo báo cáo của ZDNet, Trend Micro cho biết phần mềm độc hại mới do Sen Biển – OceanLotus tạo ra do “sự tương đồng về hành vi động và mã” từ phần mềm độc hại trước đó được kết nối với nhóm tin tặc có trụ sở tại Việt Nam.

Gần đây, họ đã phát hiện ra một cửa sau mới mà tin rằng có liên quan đến nhóm OceanLotus. Một số cập nhật của biến thể mới này (do Trend Micro phát hiện là Backdoor.MacOS.OCEANLOTUS.F) bao gồm hành vi và tên miền mới. Được biết mẫu này vẫn không bị phát hiện bởi các giải pháp chống phần mềm độc hại khác.

Do sự tương đồng về hành vi động và mã với các mẫu OceanLotus trước đó, mẫu mã độc mới đã được xác nhận là một biến thể của phần mềm độc hại nói trên.

OceanLotus chịu trách nhiệm về các cuộc tấn công có chủ đích chống lại các tổ chức từ các ngành như truyền thông, nghiên cứu và xây dựng. Gần đây, họ cũng đã được các nhà nghiên cứu từ Volexity phát hiện đang sử dụng các trang web độc hại để tuyên truyền phần mềm độc hại.

Những kẻ tấn công đằng sau mẫu này có thể nhắm mục tiêu vào người dùng từ Việt Nam vì tên của tài liệu bằng tiếng Việt và các mẫu cũ hơn đã nhắm mục tiêu cùng một khu vực trước đó.

Các nhóm nguy hiểm như OceanLotus đang tích cực cập nhật các biến thể phần mềm độc hại nhằm cố gắng tránh bị phát hiện và cải thiện tính bền bỉ. Các phương pháp hay nhất sau đây có thể được áp dụng để bảo vệ khỏi phần mềm độc hại:

– Không bao giờ nhấp vào liên kết hoặc tải xuống tệp đính kèm từ email đến từ các nguồn đáng ngờ

– Thường xuyên vá và cập nhật phần mềm và ứng dụng

– Sử dụng các giải pháp bảo mật phù hợp với hệ điều hành của bạn

Ngọc Lan

Nguồn: https://vietnamthoibao.org/vntb-tin-tac-viet-nam-sen-bien-apt23-van-tich-cuc-hoat-dong