APT giải đáp

APT giải đáp

Các dấu hiệu hoạt động đầu tiên được cho là do APT của Khổng Tử (Mối đe dọa liên tục nâng cao) có từ năm 2013. Tập thể tin tặc đã hoạt động tích cực kể từ đó với làn sóng tấn công mới nhất diễn ra vào tháng 12 năm 2020. Người ta tin rằng Khổng Tử được nhà nước bảo trợ và đã thể hiện mối quan hệ thân Ấn Độ. Trong suốt những năm, các mục tiêu chính nhắm vào các cơ quan chính phủ từ khu vực Đông Nam Á, các cá nhân quân sự Pakistan, các cơ quan hạt nhân và các quan chức bầu cử Ấn Độ.

Nhóm này chủ yếu tập trung vào các hoạt động trinh sát và đánh cắp dữ liệu và điều đó đã định hình nên bộ công cụ phần mềm độc hại của họ. Người đầu tiên được gán cho Khổng Tử là ChatSpy. Nó đã được triển khai như một phần của hoạt động năm 2017 và nó hoạt động như một công cụ giám sát. Từ năm 2016 đến năm 2019, nhóm đã tham gia vào quá trình phát triển tích cực Phần mềm độc hại SunBird , một mối đe dọa phần mềm gián điệp Android với khả năng mở rộng. Mặc dù chức năng của SunBird cũng hướng đến việc đánh cắp dữ liệu bao gồm nhận dạng thiết bị, vị trí GPS, danh sách liên hệ, nhật ký cuộc gọi, v.v., nhưng nó được thiết kế để nhắm mục tiêu cụ thể đến WhatsApp bằng cách trích xuất tài liệu, cơ sở dữ liệu và hình ảnh từ ứng dụng. Hơn nữa, SunBird còn được trang bị chức năng Trojan Truy cập Từ xa (RAT) cho phép Khổng Tử giảm tải thêm phần mềm độc hại trên các thiết bị đã bị xâm phạm.

Hoạt động mới nhất của Khổng Tử được quan sát vào tháng 12 năm 2020 và nó sử dụng một chủng phần mềm gián điệp Android hoàn toàn khác. Được đặt tên là Hornbill, nó cho thấy quá trình hoạt động của nhóm. Thật vậy, phạm vi khả năng của Hornbill bị giảm đi khi so sánh với SunBird nhưng điều đó cho phép mối đe dọa hoạt động như một công cụ kín đáo hơn được thiết kế để thu thập dữ liệu có chọn lọc từ mục tiêu. Hornbill đã mất chức năng RAT nhưng có khả năng lạm dụng các chức năng trợ năng của Android để phát hiện và ghi lại các cuộc gọi WhatsApp đang hoạt động.

Loading...