(CĐ 19) Các nhóm tin tặc Trung Quốc: Goblin Panda – Hiểu biết về kẻ thù (12)

27/11/2015 01:00

GOTHIC PANDA là một nhóm tin tặc có tay nghề cao khác của Trung Quốc mà CrowdStrike Intelligence đã theo dõi trong năm 2014. Theo quan sát, nhóm tin tặc
này đã nhắm mục tiêu vào một số nạn nhân cấp cao trong các khu vực quan trọng bao gồm tài chính, công nghệ, các tổ chức phi chính phủ/ quốc tế và năng lượng.

GOTHIC PANDA (kỳ 3)

Chinese_hacker_MUTL

[headlinebox title=”Mục lục” state=”ẩn/hiện” float=”left” w=”55%”]hdtbgdmtq.ml[/headlinebox]

GOTHIC PANDA là một nhóm tin tặc có tay nghề cao khác của Trung Quốc mà
CrowdStrike Intelligence đã theo dõi trong năm 2014. Theo quan sát, nhóm tin tặc
này đã nhắm mục tiêu vào một số nạn nhân cấp cao trong các khu vực quan trọng bao
gồm tài chính, công nghệ, các tổ chức phi chính phủ/ quốc tế và năng lượng. Vào đầu
tháng 05/2014, CrowdStrike đã quan sát thấy nhóm tin tặc này phát động một chiến
dịch phát tán tin nhắn lừa đảo được sử dụng để chuyển hướng các nạn nhân đến các
trang khai thác một lỗ hổng zero-day Use-After- Free trong Internet Explorer. Dưới
đây là bảng tóm tắt theo thời gian các sự kiện diễn ra trong chiến dịch này:

cctv_9876354634

Một tin nhắn lừa đảo đã quan sát thấy được trình bày dưới đây:

Nạn nhân trong các chiến dịch này đã bị nhiễm một đoạn mã độc (implant) mang tên
Pirpi, đã được sử dụng từ năm 2009 và bị phát hiện bởi phần mềm diệt virus. Pirpi
cung cấp cho kẻ tấn công một bộ tính năng RAT truyền thống, cho phép tin tặc trích
xuất và sử dụng các tập tin cùng với truy cập shell từ xa vào một hệ thống đã bị tấn
công.

img_5074_1

Trong quá trình điều tra GOTHIC PANDA, CrowdStrike Intelligence đã xác định được
một sự chồng chéo giữa Pirpi và một mã độc không còn tồn tại mang tên Dreammon
(hoặc DreamClick), có thể bị phát hiện bởi các chương trình diệt virus. Mã độc này có
một tính năng được thiếp lập phù hợp với mã độc adclicker hơn là hoạt động có chủ
đích. Vì mã độc adclicker phổ biến với các băng nhóm tội phạm hơn, nó mặc nhiên
được công nhận rằng, nếu băng nhóm đứng sau Dreammon cũng là kẻ đứng sau Pirpi
thì động cơ ban đầu của nhóm này có thể động cơ về mặt tài chính.

(Còn tiếp)

Ban biên tập

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video