Các cuộc tấn công gián điệp trên diện rộng có liên quan tới các hacker ‘Cicada’ của Trung Quốc

Một nhóm Hacker đe dọa nâng cao (APT) được Trung Quốc hậu thuẫn nổi tiếng với việc tấn công các mục tiêu Nhật Bản bị cho là đứng đằng sau một chiến dịch gián điệp kéo dài mới nhắm vào các khu vực địa lý mới như một chiến lược “mở rộng” mục tiêu của nhóm tin tặc này.



Các cuộc xâm nhập trên diện rộng được cho là bắt đầu sớm nhất vào giữa năm 2021 và tiếp tục gần đây vào tháng 2/2022 có liên quan đến một nhóm được theo dõi có tên Cicada , hay còn được gọi là APT10, Stone Panda, Potassium, Bronze Riverside hoặc nhóm MenuPass.



Các chuyên gia từ nhóm săn lùng mối đe dọa của Symantec, một bộ phận của Broadcom Software cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: “Các nạn nhân trong chiến dịch Cicada (hay còn gọi là APT10) này bao gồm các tổ chức chính phủ, luật pháp, tôn giáo và phi chính phủ (NGO) ở nhiều quốc gia trên thế giới. Bao gồm cả ở châu Âu, châu Á và Bắc Mỹ”.



Brigid O. Gorman, nhà phát triển thông tin cấp cao tại nhóm săn lùng mối đe dọa của Synmatec chia sẻ với The Hacker News rằng: “Có một sự tập trung mạnh mẽ vào các nạn nhân trong chính phủ và các tổ chức phi chính phủ. Trong đó một số tổ chức này hoạt động trong các lĩnh vực tôn giáo và giáo dục”.



Hầu hết các tổ chức được nhắm tới nằm ở Hoa Kỳ, Canada, Hồng Kông, Thổ Nhĩ Kỳ, Israel, Ấn Độ, Montenegro và Ý, cùng với một nạn nhân ở Nhật Bản. Trong đó tin tặc dành tới 9 tháng xâm nhập hệ thống mạng của một số nạn nhân này.



Gorman nói thêm: “Ngoài ra cũng có một số nạn nhân trong các lĩnh vực như viễn thông, pháp lý và dược phẩm bị ảnh hưởng. Tuy nhiên, các tổ chức chính phủ và tổ chức phi lợi nhuận dường như là trọng tâm chính trong chiến dịch này”.



Vào tháng 3/2021, các chuyên gia của Kaspersky đã tiết lộ về một hoạt động thu thập thông tin tình báo do nhóm này thực hiện nhằm thu thập thông tin từ một số lĩnh vực công nghiệp tại Nhật Bản.



Sau đó vào đầu tháng 2 này, Stone Panda được cho là có dính líu đến một cuộc tấn công chuỗi cung ứng có tổ chức nhắm vào lĩnh vực tài chính của Đài Loan, với mục tiêu đánh cắp thông tin nhạy cảm từ các hệ thống bị xâm nhập.



Chuỗi các cuộc tấn công mới mà Symantec quan sát được bắt đầu với việc các tin tặc có được quyền truy cập ban đầu bằng một lỗ hổng chưa được vá trong Máy chủ Microsoft Exchange, sau đó sử dụng nó để triển khai cửa sau SodaMaster của chúng.



Gorman chia sẻ thêm rằng: “Tuy nhiên, chúng tôi không quan sát thấy được liệu những kẻ tấn công có khai thác một lỗ hổng cụ thể hay không, vì vậy chúng tôi không thể biết liệu chúng có tận dụng lỗ hổng ProxyShell hay ProxyLogon hay không”.



SodaMaster là một trojan truy cập từ xa dựa trên Windows được trang bị các tính năng để tạo điều kiện truy xuất các tải trọng mã độc bổ sung, và trích xuất thông tin trở lại máy chủ điều khiển và kiểm soát (C2) của nó.



Các công cụ khác được triển khai trong quá trình tấn công bao gồm tiện ích kết xuất thông tin Mimikatz, NBTScan để tiến hành trinh sát nội bộ, WMIExec để thực thi lệnh từ xa và VLC Media Player để chạy một trình tải tùy chỉnh trên máy chủ bị nhiễm.



Gorman cho biết: “Với việc các nạn nhân của chiến dịch này chiếm một số lượng lớn các lĩnh vực như vậy dường như cho thấy nhóm này hiện đang quan tâm đến nhiều mục tiêu đa dạng hơn”.



“Các loại tổ chức được nhắm tới – tổ chức phi lợi nhuận và tổ chức chính phủ, bao gồm cả những tổ chức liên quan đến hoạt động tôn giáo và giáo dục có nhiều khả năng được tin tặc quan tâm vì mục đích gián điệp. Loại hoạt động mà chúng tôi thấy trên máy của nạn nhân và hoạt động trước đây của Cicada cũng đã chỉ ra động cơ đằng sau chiến dịch này là hoạt động gián điệp”.



Theo Thehackernews
The post Các cuộc tấn công gián điệp trên diện rộng có liên quan tới các hacker ‘Cicada’ của Trung Quốc appeared first on SecurityDaily .