Danti: Những nhóm gián điệp mạng chỉ sử dụng một lỗ hổng để tấn công tổ chức trên khắp thế giới

pull-icon
logo-mobile

Danh mục

Danti: Những nhóm gián điệp mạng chỉ sử dụng một lỗ hổng để tấn công tổ chức trên khắp thế giới

  Nhóm Nghiên cứu và Phân tích toàn cầu Kaspersky Lab đã quan sát đợt sóng gián điệp mạng do nhiều nhóm tội phạm mạng khác nhau thực hiện trên khắp khu vực châu Á Thái Bình Dương và vùng Viễn Đông, tất cả đều có chung một đặc điểm: kẻ tấn công lợi dụng lỗ hổng CVE-2015-2545 để lây nhiễm người dùng bằng phần mềm độc hại. Lỗ hổng trong phần mềm Microsoft Office này đã được vá vào cuối năm 2015 nhưng vẫn bị nhiều mối đe dọa sử dụng. Platinum, APT16, EvilPost và SPIVY là những nhóm tội phạm đã sử dụng lỗ hổng này và giờ đây, chúng hợp nhất thành cái tên mới: Danti.

Lỗ hổng là công cụ độc hại được sử dụng rộng rãi bởi nhiều nhóm gián điệp mạng và tội phạm mạng nhằm lây nhiễm máy tính nạn nhân bằng phần mềm độc hại. Nhiều năm trước, việc sử dụng lỗ hổng zero-day (những lỗ hổng bị lợi dụng trước khi nhà cung cấp phần mềm phát hành bản vá lỗi) là đặc điểm nhận dạng những mối đe dọa tinh vi nhưng nhiều thứ đã thay đổi: ngày nay, các nhóm gián điệp mạng có khả năng sẽ sử dụng những lỗ hổng đã được biết đến, chỉ vì nó rẻ và lây nhiễm ở một mức độ có thể chấp nhận được.

Lỗi CVE-2015-2545 cho phép kẻ tấn công lập đoạn mã tùy ý sử dụng file hình ảnh đặc biệt EPS. Khai thác lỗ hổng này gây nên tình trạng nghiêm trọng vì nó sử dụng thủ thuật PostScript và có thể lách chức năng bảo mật Ngẫu nhiên hóa sơ đồ không gian địa chỉ – Address Space Layout Randomization (ASLR) và Ngăn chặn thực thi dữ liệu – Data Execution Prevention (DEP) trên Windows. Danti là nhóm lớn nhất bị phát hiện đã sử dụng lỗ hổng này.

Danti tập trung cao vào các tổ chức ngoại giao. Nó có thể có được quyền truy cập vào mạng lưới nội bộ trong nhiều tổ chức chính phủ Ấn Độ. Theo mạng lưới bảo mật Kaspersky, nhiều trojan từ Danti đã được phát hiện tại Kazakhstan, Kyrgyzstan, Uzbekistan, Myanmar, Nepal và the Philippines. Hoạt động của nó bị phát hiện lần đầu tiên vào tháng 2, tiếp tục sang tháng 3 và cho đến tận bây giờ.

Việc khai thác được thực hiện thông qua những email có liên kết đến những trang web lừa đảo. Nhằm thu hút sự chú ý của nạn nhân, những kẻ đứng sau Danti đã tạo ra email dưới danh nghĩa của những quan chức cấp cao trong chính phủ Ấn Độ. Một khi việc khai thác lỗ hổng được thực hiện, backdoor Danti được cài đặt và giúp kẻ tấn công có được quyền truy cập vào máy tính bị lây nhiễm và lấy đi thông tin nhạy cảm.

Nguồn gốc Danti hiện vẫn chưa rõ nhưng những nhà nghiên cứu tại Kaspersky Lab có lí do để nghi ngờ rằng nhóm này có liên quan đến nhóm Nettraveler và DragonOK. Tin chắc rằng hacker nói tiếng Trung đứng sau những nhóm này.

Bên cạnh đó, các nhà nghiên cứu tại Kaspersky Lab đã phát hiện nhiều cuộc tấn công vào lỗ hổng CVE-2015-2545 không rõ nguồn gốc vào nhiều tổ chức tại Đài Loan và Thái Lan. Các cuộc tấn công này được đặt tên theo trojan được tải xuống sau khi lỗ hổng bị khai thác – SVCMONDR. Trojan này khác với những trojan Danti sử dụng nhưng chúng có điểm chung với Danti và APT16 – nhóm gián điệp mạng được cho rằng đến từ Trung Quốc.

Alex Gostev, Chuyên gia bảo mật cấp cao, Trung tâm nghiên cứu Kaspersky Lab APAC cho biết: “Chúng tôi mong chờ những vụ việc với cuộc khai thác này và chúng tôi sẽ tiếp tục quan sát những đợt sóng tấn công mới và mối liên hệ tiềm ẩn với những cuộc tấn công khác trong khu vực. Đợt tấn công được thực hiện chỉ với sự trợ giúp của một lỗ hổng nói lên 2 điều: đầu tiên, mối đe dọa có xu hướng sẽ không đầu tư nhiều nguồn lực để phát triển công cụ tinh vi như với việc khai thác zero-day khi 1-day cũng có khả năng tương tự. Thứ hai, mức độ cập nhật vá lỗi trong những công ty mục tiêu và tổ chức chính phủ là rất thấp. Chúng tôi đề nghị các công ty nên chú ý đến việc quản lí vá lỗi trong hệ thống CNTT nhiều hơn để tự bảo vệ mình trước hết là với những lỗ hổng đã được biết đến”.

Tìm hiểu thêm về tấn công có chủ đích sử dụng CVE-2015-2545 tại www.Securelist.com.

Thông tin về Kaspersky Lab

  Kaspersky Lab là nhà cung cấp giải pháp bảo vệ thiết bị đầu cuối tư nhân lớn nhất thế giới. Công ty nằm trong top 4 nhà cung cấp bảo mật cho người dùng thiết bị đầu cuối. Trong suốt 15 năm, Kaspersky Lab luôn tiên phong trong lĩnh vực bảo mật CNTT và cung cấp giải pháp bảo mật thời đại số hiệu quả cho doanh nghiệp lớn, doanh nghiệp vừa và nhỏ và người tiêu dùng. Kaspersky Lab có trụ sở tại Vương quốc Anh, hiện hoạt động trên gần 200 quốc gia và vùng lãnh thổ trên toàn cầu, mang đến sự bảo vệ cho hơn 300 triệu người dùng trên thế giới.

Tìm hiểu thêm tại www.kaspersky.com.

Bài viết liên quan

Kaspersky dự đoán APAC sẽ đối mặt với nhiều hình thức tấn công giả mạo, hành vi lừa đảo, rò rỉ dữ liệu và tấn công APT trong năm
Kaspersky dự đoán APAC sẽ đối mặt với nhiều hình thức tấn công giả mạo, hành vi lừa đảo, rò rỉ dữ liệu và tấn công APT trong năm

Các chuyên gia tại Kaspersky nhận định rằng phong trào chuyển đổi số mạnh mẽ và những xung đột địa chính trị ở khu vực Châu Á – Thái Bình Dương (APAC) là yếu tố tác động đến bối cảnh mối đe dọa an ninh mạng tại APAC năm 2024.

Nhiều sự cố mạng xảy ra trong ngành bán lẻ khu vực Châu Á – Thái Bình Dương do thiếu ngân sách an ninh mạng
Nhiều sự cố mạng xảy ra trong ngành bán lẻ khu vực Châu Á – Thái Bình Dương do thiếu ngân sách an ninh mạng

Theo một nghiên cứu gần đây của Kaspersky, 25% nhân sự công nghệ thông tin (CNTT) cho rằng nguyên nhân các cơ sở hạ tầng thiết yếu, dầu khí và năng lượng đối mặt với nhiều sự cố mạng đến từ việc phân bổ ngân sách không hiệu quả. Được biết, ngành bán lẻ tại Châu Á Thái Bình Dương (APAC) đã trải qua nhiều cuộc tấn công mạng lớn nhất trong 24 tháng qua.

Giải pháp bảo mật cá nhân mới của Kaspersky được vinh danh là sản phẩm của năm được bình chọn bởi AV-Comparatives
Giải pháp bảo mật cá nhân mới của Kaspersky được vinh danh là sản phẩm của năm được bình chọn bởi AV-Comparatives

Giải pháp mới nhất của Kaspersky đã được AV-Comparatives, một viện thử nghiệm độc lập hàng đầu vinh danh là "Sản phẩm của năm", phá kỷ lục dành cho công ty an ninh mạng được vinh danh nhất trong ngành.

Kaspersky hướng dẫn người tiêu dùng Việt cách mua sắm an toàn dịp cuối năm
Kaspersky hướng dẫn người tiêu dùng Việt cách mua sắm an toàn dịp cuối năm

Hàng loạt chương trình khuyến mãi kích cầu dịp cuối năm luôn là những thời gian cao điểm thu hút hàng triệu khách hàng, đơn cử, Cyber ​​Monday, Black Friday và Ngày đôi (Double Day) trên các sàn thương mại điện tử vào các ngày 10/10, 11/11 và 12/12. Theo khảo sát gần đây được thực hiện bởi Kaspersky để nghiên cứu hành vi mua sắm trong những ngày lễ năm 2023, đã có tới 90% số người tham gia khảo sát thừa nhận rằng họ mua hàng một cách ngẫu hứng trong những ngày siêu khuyến mại.

Nhiều doanh nghiệp Châu Á – Thái Bình Dương lên kế hoạch thuê dịch vụ an ninh mạng bên ngoài
Nhiều doanh nghiệp Châu Á – Thái Bình Dương lên kế hoạch thuê dịch vụ an ninh mạng bên ngoài

Trước tình trạng gia tăng đáng báo động của các cuộc tấn công mạng, các chủ doanh nghiệp đang tăng cường công tác nhằm đảm bảo an ninh, bảo mật thông tin mạng. Nghiên cứu mới của Kaspersky cho thấy có hơn 77% các doanh nghiệp ở Châu Á – Thái Bình Dương (APAC) đã gặp phải ít nhất một sự cố an ninh mạng trong hai năm qua.

Nhận ưu đãi Bỏ qua