Tin tặc DarkHotel triển khai chiến dịch mạng Inexsmar nhắm mục tiêu chính trị gia

21/07/2017 12:43

Hãng bảo mật Bitdefender (Romania) báo cáo phát hiện chiến dịch tấn công mạng mới rất tinh vi, nhắm mục tiêu cụ thể vào các nhân vật chính trị và người dùng có đặc quyền cao.

Chiến dịch được đặt tên “Inexsmar”, được các nhà bảo mật xác định do nhóm tin tặc DarkHotel, thủ phạm từng gây ra các mối đe dọa tương tự vào năm 2007.

Phương pháp của cuộc tấn công mới là phát tán email lừa đảo trực tuyến được thiết kế cẩn thận ... trong đó sử dụng tên hợp pháp và địa chỉ email thuyết phục nạn nhân
Phương pháp của cuộc tấn công mới là phát tán email lừa đảo trực tuyến được thiết kế cẩn thận … trong đó sử dụng tên hợp pháp và địa chỉ email thuyết phục nạn nhân

Các cuộc tấn công của DarkHotel thường xuất hiện với phần mềm độc hại, trong đó cả tin tặc và nạn nhân trên cùng một mạng WiFi (của khách sạn). Chiến dịch Inexsmar hơi khác, xét về cả mục tiêu và cơ chế phân phối payload. Bitdefender đã xác định nhiều mẫu mã độc có thời gian từ tháng 9/2016, nhưng hãng cũng phát hiện những mẫu cao cấp tương tự được biên soạn vào tháng 4/2011.

Trao đổi với trang The Inquirer, Liviu Arsene, chuyên gia phân tích mối đe dọa e-mail cấp cao của Bitdefender, cho biết: “Phương pháp của cuộc tấn công mới là phát tán email lừa đảo trực tuyến được thiết kế cẩn thận … trong đó sử dụng tên hợp pháp và địa chỉ email thuyết phục nạn nhân. Khi thực hiện, tập tin đính kèm hiển thị một tài liệu hợp lệ để không gây nghi ngờ cho nạn nhân, trong khi đó thì mã độc bắt đầu quá trình cài đặt vào máy nạn nhân. Đó là lý do tại sao chiến dịch hiện tại là một bước đi lớn so với cách tiếp cận truyền thống của DarkHotel, trong đó tin tặc phải dùng chung Wi-Fi với nạn nhân”.

Tài liệu giả mà Arsene đề cập đến được đặt tên: “Pyongyang Directory Group email SEPTEMBER 2016 RC_Office_Coordination_Associate.docx”.

Khi tập tin được kích hoạt, mã độc sẽ có nhiệm vụ xác định xem máy tính đó có phải là một mục tiêu hợp lệ hay không. Nếu không, mã độc sẽ ngừng hoạt động; và nếu hợp lệ, mã độc sẽ cài đặt toàn bộ payload bằng cách liên hệ với máy chủ C2.

Nhóm DarkHotel thường nhắm đến những người dùng doanh nghiệp cao cấp như CEO, nhà phát triển và các nhà nghiên cứu doanh nghiệp, những người có thể truy cập thông tin nhạy cảm của công ty như tài sản sở hữu trí tuệ và mã nguồn. Một số phương thức tấn công gồm khai thác lỗ hổng zero day, chứng chỉ kỹ thuật số bị đánh cắp cũng đã từng được nhóm sử dụng trong quá khứ.

BitDefender cho biết: “Chúng tôi cho rằng phương pháp kết hợp kỹ thuật xã hội với mã độc nhiều giai đoạn cũng là một bước tiến lớn giúp cho mã độc của DarkHotel có khả năng “cạnh tranh” với biện pháp phòng thủ của nạn nhân luôn được nâng cấp”.

Gia Cát Linh (dịch từ The Inquirer)

Xem nhiều

Tin liên quan

Cùng sự kiện

BẠN CÓ THỂ QUAN TÂM

Video