Báo giá giảm giá nhiều giấy phép
Cơ sở dữ liệu về mối đe dọa Phần mềm độc hại Phần mềm độc hại LoptikMod

Phần mềm độc hại LoptikMod

Đến năm Mezo năm Phần mềm độc hại, Mối đe dọa dai dẳng nâng cao (APT)
Dịch sang:

Một chiến dịch mới được cho là do nhóm APT DoNot phát hiện, cho thấy việc sử dụng một chủng phần mềm độc hại ẩn và dai dẳng có tên LoptikMod. Công cụ này đã được sử dụng trong một cuộc tấn công có chủ đích nhằm vào một bộ ngoại giao châu Âu, cho thấy nhóm này đang chuyển hướng trọng tâm ra ngoài Nam Á.

Một tác nhân đe dọa đã biết với phạm vi mở rộng

Chiến dịch này có liên quan đến DoNot Team, một nhóm Đe dọa Thường trực Tiên tiến (APT) tinh vi được biết đến với nhiều biệt danh khác nhau, bao gồm APT-C-35, Mint Tempest, Origami Elephant, SECTOR02 và Viceroy Tiger. Với các hoạt động bắt đầu từ ít nhất năm 2016, nhóm này có lịch sử được ghi nhận là nhắm mục tiêu vào các cơ quan chính phủ, bộ ngoại giao, cơ quan quốc phòng và các tổ chức phi chính phủ, đặc biệt là ở Nam Á và Châu Âu.

Theo truyền thống, DoNot APT đã sử dụng phần mềm độc hại được thiết kế riêng, đặc biệt là YTY và GEdit, thường được triển khai thông qua các chiến dịch lừa đảo và tệp đính kèm tài liệu độc hại.

Thu hút mục tiêu: Lừa đảo là điểm vào

Cuộc tấn công bắt đầu bằng một email lừa đảo được tạo ra để trông có vẻ hợp pháp và đáng tin cậy. Những email này, được gửi từ một tài khoản Gmail, mạo danh các quan chức quốc phòng và có dòng tiêu đề đề cập đến chuyến thăm của một Tùy viên Quốc phòng Ý đến Dhaka, Bangladesh. Đáng chú ý, các email được định dạng bằng HTML với mã hóa UTF-8 để hiển thị chính xác các ký tự đặc biệt như 'é', tăng thêm tính xác thực.

Một liên kết Google Drive được nhúng trong email dẫn đến việc tải xuống một tệp RAR. Tệp này chứa một tệp thực thi độc hại được thiết kế để mô phỏng tệp PDF. Khi mở ra, tệp thực thi này sẽ khởi chạy LoptikMod, một trojan truy cập từ xa (RAT) đã được DoNot APT độc quyền sử dụng từ ít nhất năm 2018.

Bên trong phần mềm độc hại LoptikMod

Sau khi được thực thi, LoptikMod sẽ tự nhúng vào hệ thống máy chủ bằng các tác vụ được lên lịch để duy trì hoạt động. Sau đó, nó kết nối với máy chủ chỉ huy và điều khiển (C2) từ xa để thực hiện nhiều hoạt động độc hại khác nhau. Bao gồm:

  • Gửi thông tin hệ thống trở lại cho kẻ tấn công
  • Nhận và thực hiện các lệnh bổ sung
  • Tải xuống các mô-đun độc hại bổ sung
  • Đánh cắp dữ liệu nhạy cảm

Để tránh bị phát hiện và cản trở phân tích pháp y, LoptikMod sử dụng các kỹ thuật chống VM (máy ảo) và mã hóa ASCII, khiến các nhà nghiên cứu bảo mật khó có thể phân tích toàn bộ chức năng của nó. Ngoài ra, nó đảm bảo chỉ có một phiên bản chạy trên mỗi thiết bị tại bất kỳ thời điểm nào, ngăn ngừa xung đột nội bộ và giảm khả năng bị phát hiện.

Trạng thái và cơ sở hạ tầng chiến dịch hiện tại

Mặc dù bản thân LoptikMod có khả năng và hoạt động bền bỉ, máy chủ C2 liên quan đến cuộc tấn công gần đây nhất hiện đang không hoạt động. Việc không hoạt động này có thể đồng nghĩa với việc cơ sở hạ tầng đã bị tạm thời ngừng hoạt động, bị tắt vĩnh viễn hoặc được thay thế bằng một máy chủ mới chưa được phát hiện.

Trạng thái không hoạt động của máy chủ hạn chế khả năng của các nhà nghiên cứu trong việc phân tích các lệnh chính xác và dữ liệu được trao đổi giữa các điểm cuối bị nhiễm và kẻ tấn công.

Dấu hiệu của sự thay đổi chiến lược: Mục tiêu châu Âu đang được chú ý

Hoạt động gần đây nhất của DoNot APT cho thấy những dấu hiệu tiến triển. Mặc dù nhóm này trước nay vẫn tập trung vào các lợi ích ở Nam Á, nhưng hoạt động gần đây cho thấy sự quan tâm ngày càng tăng đối với tình báo ngoại giao châu Âu, đặc biệt là liên quan đến Nam Á.

Sự thay đổi này có thể cho thấy năng lực hoạt động được nâng cao và các mục tiêu tình báo tham vọng hơn. Những người điều hành nhóm này có thể đang tìm hiểu sâu hơn về các chiến lược ngoại giao, chính sách quốc phòng và các hoạt động quốc tế của phương Tây với Nam Á.

Những điểm chính

Để giảm thiểu hiệu quả các cuộc tấn công như vậy, các tổ chức nên bắt đầu bằng việc đào tạo nhân viên nhận biết các nỗ lực lừa đảo, ngay cả khi tin nhắn có vẻ rất chính đáng. Điều quan trọng không kém là liên tục giám sát hệ thống để phát hiện bất kỳ hành vi bất thường nào, chẳng hạn như các tác vụ được lên lịch bất ngờ hoặc kết nối ra ngoài đến các máy chủ lạ, vì đây có thể là dấu hiệu của sự xâm nhập.

Ngoài ra, việc triển khai các công cụ phân tích hành vi và hộp cát (sandboxing) có thể giúp phát hiện và vô hiệu hóa các tệp thực thi đáng ngờ trước khi chúng gây hại. Việc cập nhật bản vá đầy đủ cho hệ thống và tích hợp nguồn cấp dữ liệu tình báo mối đe dọa mới nhất đảm bảo các lỗ hổng đã biết được xử lý kịp thời. Cuối cùng, việc phân đoạn mạng có thể giảm đáng kể nguy cơ phần mềm độc hại lây lan theo chiều ngang, từ đó ngăn chặn các vi phạm tiềm ẩn hiệu quả hơn.

Kết luận: Sự cảnh giác là điều cần thiết

Việc nhóm APT DoNot triển khai LoptikMod trong một chiến dịch gián điệp mạng ở châu Âu là một lời nhắc nhở rõ ràng về bối cảnh đe dọa đang biến đổi. Khi các nhóm APT tiếp tục cải tiến công cụ và mở rộng mục tiêu, đặc biệt là nhắm vào các tài sản ngoại giao có giá trị cao, các tổ chức phải luôn cảnh giác và chủ động trong việc phòng thủ an ninh mạng.

xu hướng

Xem nhiều nhất

Phần mềm độc hại

Lừa đảo, Thư rác
35,647
Thông báo lừa đảo 'Apple Pay Suspended' là một loại chiến thuật lừa đảo nhằm vào người dùng Apple Pay. Thông báo tuyên bố rằng ví Apple Pay của người dùng đã bị treo và khuyến khích họ nhấp vào liên kết để khôi phục ví. Tuy nhiên, nhấp vào liên kết sẽ đưa người dùng đến một trang web giả mạo được thiết kế để đánh cắp thông tin cá nhân và thông tin tài chính của họ. Nếu người dùng trở...
Đang tải...