Các hacker đang cài rất nhiều Backdoor vào các công ty sản xuất ở Nhật Bản.



Các nhà nghiên cứu an ninh mạng hôm thứ Ba đã tiết lộ chi tiết về một chiến dịch tinh vi đã tiến hành triển khai các Backdoor độc hại nhằm mục đích lấy cắp đi thông tin từ một số lĩnh vực công nghiệp ở Nhật Bản.

Được các nhà nghiên cứu của Kaspersky đặt cho cái tên là “A41APT”, phát hiện này đã giúp họ nghiên cứu sâu vào một loạt các cuộc tấn công mới do APT10 (hay còn gọi là Stone Panda hoặc Cicada) thực hiện bằng cách sử dụng undocumented malware trước đây để cung cấp ba payload như SodaMaster, P8RAT và FYAnti.

Hoạt động thu thập thông tin tình báo lần đầu tiên bắt đầu vào tháng 3 năm 2019, với các hoạt động được phát hiện gần đây nhất là vào tháng 11 năm 2020, khi các báo cáo xuất hiện về các công ty liên kết với Nhật Bản đang là mục tiêu của hacker ở hơn 17 khu vực trên toàn thế giới.

Các cuộc tấn công mới được phát hiện bởi Kaspersky được cho là đã xảy ra vào tháng 1 năm 2021. Chuỗi lây nhiễm này thúc đẩy quá trình tấn công nhiều giai đoạn, với sự xâm nhập ban đầu xảy ra thông qua việc lạm dụng SSL-VPN bằng cách khai thác các lỗ hổng chưa được vá hoặc thông tin đăng nhập bị đánh cắp.

Trọng tâm của chiến dịch là malware có tên là Ecipekac (ngược lại là “Cake piece”, nhưng có thể đã xay ra lỗi đánh máy) xâm nhập qua bốn lớp “complicated loading schema” bằng cách sử dụng bốn tệp để “tải và giải mã bốn fileless loader modules  lần lượt để sau cùng tải payload cuối cùng vào bộ nhớ.”

Mặc dù mục đích chính của P8RAT và SodaMaster là tải xuống và thực thi payload được truy xuất từ ​​máy chủ do các hacker kiểm soát, cuộc điều tra của Kaspersky không mang lại kết quả và bất kỳ manh mối nào về chính xác malware nào được truyền tới các hệ thống tới Windows mục tiêu.

Điều thú vị là payload thứ ba, FYAnti, là một multi-layer loader module và tự nó đi qua hai layer kế tiếp nhau để triển khai Remote Access Trojan cuối cùng được gọi là QuasarRAT (hoặc xRAT).

Nhà nghiên cứu Suguru Ishimaru của Kaspersky cho biết: “Các hoạt động và việc cấy malware của chiến dịch … được thực hiện lén lút, gây khó khăn cho việc theo dõi các hoạt động của hacker, nhà nghiên cứu Suguru Ishimaru của Kaspersky cho biết. “Các tính năng không thể nhận biết được và dường như là vô hình chính là cấy fileless, obfuscation, anti-VM và loại bỏ các dấu vết của việc hoạt động.”

Nguồn: thehackernews.



Bài Viết liên quan

Mạng Xã Hội

55,084FansLike
471FollowersFollow
23,364SubscribersSubscribe

Bài Viết Nổi Bật