NEWSCMC cảnh báo chiến dịch tấn công APT vào các cơ quan hành chính Nhà nước Việt Nam
 |
CMC cảnh báo chiến dịch APT đang tấn công vào các cơ quan hành chính Nhà nước Việt Nam. |
Công ty CMC Cyber Security đã có những phân tích sâu về những file mã độc được sử dụng trong chiến dịch tấn công này. Qua quá trình tìm hiểu và phân tích các dấu hiệu,ảnhbáochiếndịchtấncôngAPTvàocáccơquanhànhchínhNhànướcViệkết quả bóng đá ý hôm nay mẫu mã độc phục vụ cho cuộc tấn công này, các chuyên gia phân tích mã độc của CMC Cyber Security nhận định nhóm tấn công có khả năng bắt nguồn từ Trung Quốc. Cụ thể, chuyên gia xác định được các văn bản độc hại tấn công vào Việt Nam trong chiến dịch này bắt nguồn từ nhóm Mustang Panda, một nhóm tin tặc được đánh giá rất cao bởi những chiến dịch rất bài bản, có kỹ thuật và chiến thuật đặc biệt.
Các mẫu nhận được sau khi phân tích có thể chia làm hai loại. Mỗi loại sử dụng một cách thực thi payload khác nhau nhưng vẫn có một số đặc điểm chung sau: Các sample được gửi tới nạn nhân được nén trong file zip để tránh bị chặn bởi các ứng dụng. Trong file nén có chứa file shortcut .lnk kèm theo đuôi .doc(ví dụ sample.doc.lnk) để đánh lừa người dùng. File lnk đính kèm theo file hta có thể thực thi được script. Script mở file document đính kèm cho người dùng và ngầm thực thi payload.
Với loại thứ nhất, mẫu là một file shortcut có phần mở rộng đuôi là .lnk, thường được đặt tên kèm theo đuôi .doc để đánh lừa người dùng do đuôi .lnk sẽ được Windows ẩn đi. Điểm đáng ngờ là ở phần target của file shortcut. Tuy nhiên, target của mẫu chứa một đoạn command khởi chạy tiến trình Mshta.exe để thực thi file hta nhúng kèm. Khi người dùng mở file lnk, máy sẽ thực thi command trong target của file lnk và thực thi file mshta.exe để mở chính nó.
Tương tự như loại một, loại hai cũng là một file lnk được nhúng vào trước file hta. Ở giai đoạn thực thi vbscript, đoạn script trong malware sẽ giải mã và lưu vào thư mục %temp% 2 file binary, 1 file là payload và 1 file document để hiển thị cho người dùng.
.jpg) |
Dữ liệu người đã bị hacker tấn công |
相关推荐
- Nhận định, soi kèo U19 Hungary vs U19 Áo, 2h00 ngày 20/3: Đầu xuôi đuôi lọt
- Nhận định, soi kèo Fiorentina vs Juventus, 0h00 ngày 17/3: Lão bà sa cơ
- Nhận định, soi kèo Novi Pazar vs Zeleznicar Pancevo, 1h00 ngày 18/3: Kẻ tám lạng
- Nhận định, soi kèo Sloboda Uzice vs Smederevo, 23h00 ngày 17/3: Tiếp đà bất bại
- Nhận định, soi kèo Hà Lan vs Tây Ban Nha, 2h45 ngày 21/3: Đâu dễ cho Bò tót
- Nhận định, soi kèo Llaneros vs Junior, 08h30 ngày 17/3: Không dễ bắt nạt tân binh
- Nhận định, soi kèo Union Santa Fe vs Banfield, 5h00 ngày 18/3: Tận dụng cơ hội
- Nhận định, soi kèo CA Lanus vs Instituto, 07h00 ngày 17/3: Dễ cầm chân nhau
