ANM 15/7: Nhóm tin tặc khét tiếng đột ngột biến mất chỉ 4 ngày sau khi Tổng thống Mỹ yêu cầu Nga hành động
Ngày 13/7, chỉ 4 ngày sau khi Tổng thống Mỹ Joe Biden yêu cầu Nga hành động để ngăn chặn hoạt động của những băng nhóm ransomware ở Nga, tất cả các trang web của nhóm tin tặc khét tiếng REvil đều đã biến mất trên dark web.
Trong đó, cổng thanh toán tiền chuộc và rò rỉ dữ liệu của nhóm này không còn truy cập được, một tài khoản đại diện công khai của nhóm là “Unknown” cũng ngừng hoạt động. Hiện chưa rõ nguyên nhân vì sao các website này biến mất, phía Cục Điều tra Liên bang Mỹ (FBI) cũng chưa đưa ra tuyên bố chính thức. Tuy nhiên, nhiều chuyên gia an ninh mạng nhận định điều này khá phổ biến trong thế giới tấn công bằng mã độc tổng tiến, khi các tin tặc có xu hướng biến mất hoặc đổi tên sau khi đã thu hút quá nhiều sự chú ý.
Vừa qua, SolarWinds tiếp tục trở thành mục tiêu xâm nhập của tội phạm mạng, sau các vụ tấn công của REvil. Theo đó, Trung tâm tình báo mạng của Microsoft (MSTIC) vừa báo cáo phát hiện, một nhóm tin tặc có nguồn gốc từ Trung Quốc được hãng theo dõi với tên hiệu “DEV-0322” đang khai thác một lỗ hổng 0-day trên phần mềm SolarWinds Serv-U FTP (CVE-2021-35211), để nhắm vào lĩnh vực quốc phòng và các công ty phần mềm ở Mỹ. Theo đó, tin tặc sử dụng các dịch vụ VPN thương mại và trang web xâm phạm được để tiến hành dò quét những máy chủ SolarWinds Serv-U FTP bị phơi bày trên mạng nhằm khai thác và thực thi mã từ xa. CVE-2021-35211 là lỗ hổng đã được Microsoft phát hiện, đến ngày 12/7, SolarWinds đã phát hành bản vá và yêu cầu người dùng nhanh chóng cập nhật phần mềm.
Hãng bảo mật Proofpoint vừa công bố báo cáo về chiến dịch “SpoofedScholars” do nhóm TA453 (hay APT35, Charming Kitten, Phosphorus) triển khai từ ít nhất là tháng 1/2021; mạo danh các nhà khoa học đến từ Trường Nghiên cứu Phương Đông và Châu Phi (SOAS) của Đại học London để gửi đi email mời các chuyên gia ở Trung Đông tham gia một hội nghị hoặc sự kiện không có thật, nhằm dẫn dụ người nhận nhấp chuột vào đường link đăng ký tham gia sự kiện và cung cấp thông tin, từ đó thu thập thông tin đăng nhập và dữ liệu nhạy cảm của nạn nhân. APT35 là nhóm chuyên thực hiện các chiến dịch gián điệp mạng nhằm phục vụ cho lợi ích của Khối Vệ binh Cách mạng Hồi giáo (IRGC, một bộ phận của Lực lượng Vũ trang Iran). Proofpoint cho biết trong chiến dịch này, tin tặc đã cố gắng tiếp cận thông tin về chính sách đối ngoại, trong đó có các cuộc đàm phán giữa Tehran và Washington về vấn đề hạt nhân.
Liên quan đến những bất ổn đang diễn ra tại Cuba, theo dữ liệu mạng từ NetBlocks, nhiều nền tảng tin nhắn và mạng xã hội ở Cuba như WhatsApp, Facebook, Instagram và một số máy chủ Telegram, đã bị ngăn chặn một phần hoặc toàn bộ kể từ ngày 12/7. Động thái này diễn ra sau khi sau khi người dân xuống đường phản đối các chính sách của chính phủ và giá cả tăng cao vào ngày 11/7.
Hãng bảo mật Bitdefender cảnh báo phát hiện nhóm vận hành mã độc Trickbot – Wizard Spider đang tích cực phát triển một phiên bản mô đun mới mang tên “tvncDll”, cập nhật từ mô đun “vncDll”, được thiết kế để liên lạc với một máy chủ C2 trong tập cấu hình của nó, cho phép tin tặc trích xuất hàng loạt lệnh tấn công, tải về nhiều payload độc khác, và trích xuất dữ liệu thu thập được để gửi về máy chủ của tin tặc. Ngoài ra, chuyên gia cũng phát hiện một công cụ “viewer” đã được tin tặc dùng để tương tác với nạn nhân qua các máy chủ C2. Trickbot là mạng botnet hoạt động khá bền bỉ và vẫn tồn tại qua hai nỗ lực triệt phá của Microsoft và Bộ Chỉ huy mạng Mỹ (CYBERCOM), mới đây nhất, Microsoft đã phải làm việc với các nhà cung cấp dịch vụ Internet (ISP) để thay thế từng bộ định tuyến bị lây nhiễm bởi Trickbot ở Brazil và Châu Mỹ Latinh.
Trần Anh