Danti: Những nhóm gián điệp mạng chỉ sử dụng một lỗ hổng để tấn công tổ chức trên khắp thế giới

pull-icon
logo-mobile

Danh mục

Danti: Những nhóm gián điệp mạng chỉ sử dụng một lỗ hổng để tấn công tổ chức trên khắp thế giới

  Nhóm Nghiên cứu và Phân tích toàn cầu Kaspersky Lab đã quan sát đợt sóng gián điệp mạng do nhiều nhóm tội phạm mạng khác nhau thực hiện trên khắp khu vực châu Á Thái Bình Dương và vùng Viễn Đông, tất cả đều có chung một đặc điểm: kẻ tấn công lợi dụng lỗ hổng CVE-2015-2545 để lây nhiễm người dùng bằng phần mềm độc hại. Lỗ hổng trong phần mềm Microsoft Office này đã được vá vào cuối năm 2015 nhưng vẫn bị nhiều mối đe dọa sử dụng. Platinum, APT16, EvilPost và SPIVY là những nhóm tội phạm đã sử dụng lỗ hổng này và giờ đây, chúng hợp nhất thành cái tên mới: Danti.

Lỗ hổng là công cụ độc hại được sử dụng rộng rãi bởi nhiều nhóm gián điệp mạng và tội phạm mạng nhằm lây nhiễm máy tính nạn nhân bằng phần mềm độc hại. Nhiều năm trước, việc sử dụng lỗ hổng zero-day (những lỗ hổng bị lợi dụng trước khi nhà cung cấp phần mềm phát hành bản vá lỗi) là đặc điểm nhận dạng những mối đe dọa tinh vi nhưng nhiều thứ đã thay đổi: ngày nay, các nhóm gián điệp mạng có khả năng sẽ sử dụng những lỗ hổng đã được biết đến, chỉ vì nó rẻ và lây nhiễm ở một mức độ có thể chấp nhận được.

Lỗi CVE-2015-2545 cho phép kẻ tấn công lập đoạn mã tùy ý sử dụng file hình ảnh đặc biệt EPS. Khai thác lỗ hổng này gây nên tình trạng nghiêm trọng vì nó sử dụng thủ thuật PostScript và có thể lách chức năng bảo mật Ngẫu nhiên hóa sơ đồ không gian địa chỉ – Address Space Layout Randomization (ASLR) và Ngăn chặn thực thi dữ liệu – Data Execution Prevention (DEP) trên Windows. Danti là nhóm lớn nhất bị phát hiện đã sử dụng lỗ hổng này.

Danti tập trung cao vào các tổ chức ngoại giao. Nó có thể có được quyền truy cập vào mạng lưới nội bộ trong nhiều tổ chức chính phủ Ấn Độ. Theo mạng lưới bảo mật Kaspersky, nhiều trojan từ Danti đã được phát hiện tại Kazakhstan, Kyrgyzstan, Uzbekistan, Myanmar, Nepal và the Philippines. Hoạt động của nó bị phát hiện lần đầu tiên vào tháng 2, tiếp tục sang tháng 3 và cho đến tận bây giờ.

Việc khai thác được thực hiện thông qua những email có liên kết đến những trang web lừa đảo. Nhằm thu hút sự chú ý của nạn nhân, những kẻ đứng sau Danti đã tạo ra email dưới danh nghĩa của những quan chức cấp cao trong chính phủ Ấn Độ. Một khi việc khai thác lỗ hổng được thực hiện, backdoor Danti được cài đặt và giúp kẻ tấn công có được quyền truy cập vào máy tính bị lây nhiễm và lấy đi thông tin nhạy cảm.

Nguồn gốc Danti hiện vẫn chưa rõ nhưng những nhà nghiên cứu tại Kaspersky Lab có lí do để nghi ngờ rằng nhóm này có liên quan đến nhóm Nettraveler và DragonOK. Tin chắc rằng hacker nói tiếng Trung đứng sau những nhóm này.

Bên cạnh đó, các nhà nghiên cứu tại Kaspersky Lab đã phát hiện nhiều cuộc tấn công vào lỗ hổng CVE-2015-2545 không rõ nguồn gốc vào nhiều tổ chức tại Đài Loan và Thái Lan. Các cuộc tấn công này được đặt tên theo trojan được tải xuống sau khi lỗ hổng bị khai thác – SVCMONDR. Trojan này khác với những trojan Danti sử dụng nhưng chúng có điểm chung với Danti và APT16 – nhóm gián điệp mạng được cho rằng đến từ Trung Quốc.

Alex Gostev, Chuyên gia bảo mật cấp cao, Trung tâm nghiên cứu Kaspersky Lab APAC cho biết: “Chúng tôi mong chờ những vụ việc với cuộc khai thác này và chúng tôi sẽ tiếp tục quan sát những đợt sóng tấn công mới và mối liên hệ tiềm ẩn với những cuộc tấn công khác trong khu vực. Đợt tấn công được thực hiện chỉ với sự trợ giúp của một lỗ hổng nói lên 2 điều: đầu tiên, mối đe dọa có xu hướng sẽ không đầu tư nhiều nguồn lực để phát triển công cụ tinh vi như với việc khai thác zero-day khi 1-day cũng có khả năng tương tự. Thứ hai, mức độ cập nhật vá lỗi trong những công ty mục tiêu và tổ chức chính phủ là rất thấp. Chúng tôi đề nghị các công ty nên chú ý đến việc quản lí vá lỗi trong hệ thống CNTT nhiều hơn để tự bảo vệ mình trước hết là với những lỗ hổng đã được biết đến”.

Tìm hiểu thêm về tấn công có chủ đích sử dụng CVE-2015-2545 tại www.Securelist.com.

Thông tin về Kaspersky Lab

  Kaspersky Lab là nhà cung cấp giải pháp bảo vệ thiết bị đầu cuối tư nhân lớn nhất thế giới. Công ty nằm trong top 4 nhà cung cấp bảo mật cho người dùng thiết bị đầu cuối. Trong suốt 15 năm, Kaspersky Lab luôn tiên phong trong lĩnh vực bảo mật CNTT và cung cấp giải pháp bảo mật thời đại số hiệu quả cho doanh nghiệp lớn, doanh nghiệp vừa và nhỏ và người tiêu dùng. Kaspersky Lab có trụ sở tại Vương quốc Anh, hiện hoạt động trên gần 200 quốc gia và vùng lãnh thổ trên toàn cầu, mang đến sự bảo vệ cho hơn 300 triệu người dùng trên thế giới.

Tìm hiểu thêm tại www.kaspersky.com.

Bài viết liên quan

Nửa đầu 2022: Việt Nam ghi nhận tấn công vào ứng dụng ngân hàng trên di động giảm
Nửa đầu 2022: Việt Nam ghi nhận tấn công vào ứng dụng ngân hàng trên di động giảm

Mặc dù phần mềm độc hại thường nhắm vào dữ liệu cá nhân nhưng các tổ chức, doanh nghiệp với chính sách Bring Your Own Device (BYOD – Sử dụng thiết bị cá nhân cho công việc) cần hết sức thận trọng bởi nhiều nguy cơ tiềm ẩn ngày một tăng.

Nửa đầu 2022: Kaspersky phát hiện hơn 1,6 triệu hành vi giả mạo liên quan đến tài chính ở Đông Nam Á
Nửa đầu 2022: Kaspersky phát hiện hơn 1,6 triệu hành vi giả mạo liên quan đến tài chính ở Đông Nam Á

Đại dịch đã thúc đẩy việc ứng dụng số ở Đông Nam Á và mang lại cho người dùng những thói quen mới. Nhiều người trong số đó đã trụ vững trước thời kỳ mà sức khỏe là vấn đề vô cùng cấp thiết. Trong khi đó, tội phạm mạng lợi dụng bối cảnh này để nhắm vào người dùng nhằm trục lợi.

Kaspersky ra mắt dịch vụ Digital Footprint Intelligence tại Việt Nam
Kaspersky ra mắt dịch vụ Digital Footprint Intelligence tại Việt Nam

Trong quý III/2022, công ty an ninh mạng toàn cầu Kaspersky đã ngăn chặn 30,1 triệu tấn công từ ổ đĩa di động và USB.

Đông Nam Á ghi nhận tấn công lừa đảo vượt xa tổng số sự cố trong năm 2021
Đông Nam Á ghi nhận tấn công lừa đảo vượt xa tổng số sự cố trong năm 2021

Các vụ lừa đảo tiếp tục có xu hướng gia tăng chóng mặt ở Đông Nam Á. Dữ liệu mới nhất từ công ty an ninh mạng toàn cầu Kaspersky tiết lộ rằng chỉ trong sáu tháng, số lượng cuộc tấn công lừa đảo trong năm nay đã vượt xa số lượng của năm ngoái.

Kaspersky tiết lộ những lỗ hổng bảo mật làm gia tăng tấn công tại khu vực Đông Nam Á
Kaspersky tiết lộ những lỗ hổng bảo mật làm gia tăng tấn công tại khu vực Đông Nam Á

Các cuộc tấn công mạng vẫn có thể được ngăn chặn trước khi kẻ tấn công xâm nhập vào mạng nội bộ. Việc giám sát mối đe dọa giúp các tổ chức có thể hành động kịp thời và vô hiệu hóa tấn công một cách hiệu quả trước khi chúng có thể khai thác các lỗ hổng hiện có và gây ảnh hưởng đến các tổ chức mục tiêu.

Nhận ưu đãi Bỏ qua