Trong suốt Quý II năm 2018, các nhà nghiên cứu Kaspersky Lab ghi nhận hoạt động nổi bật từ APT diễn ra chủ yếu tại châu Á liên quan đến các mối đe dọa đã được biết đến, và cả những nguy cơ vẫn còn khá mới mẻ.

Kaspersky: APT chủ yếu diễn ra tại châu Á trong quý II

Theo đó, các nhà nghiên cứu Kaspersky Lab tiếp tục phát hiện ra các công cụ, công nghệ và các kế hoạch mới được APT sử dụng, một vài cái tên trong số đó đã im lặng trong nhiều năm. Châu Á vẫn được các mối đe dọa “quan tâm”: các nhóm trong khu vực như Lazarus và Scarcruft nói tiếng Hàn vẫn hoạt động mạnh mẽ.

Các nhà nghiên cứu còn phát hiện thêm mầm mống có tên LightNeuron được nhóm Tular nói tiếng Nga sử dụng để nhắm đến khu vực Trung Á và Trung Đông.

Một số điểm nổi bật từ báo cáo của Kaspersky trong Quý II 2018:

Sự trở lại của nhân tố đứng sau Olympic Destroyer: Sau cuộc tấn công vào Thế vận hội Mùa đông tháng 1/2018, các nhà nghiên cứu phát hiện ra hoạt động mới của nhân tố này nhắm đến các tổ chức tài chính ở Nga và phòng thí nghiệm phòng chống lại mối đe doạ hoá sinh ở châu Âu và Ukraina. Một vài dấu hiệu cho thấy mối liên hệ không nhỏ giữa Olympic Destroyer và Sofacy, mối đe doạ nói tiếng Nga.

Lazarus/BlueNoroff. Nhiều dấu hiệu cho thấy nhóm này tấn công vào các tổ chức tài chính ở Thổ Nhĩ Kỳ và các sòng bài ở châu Mỹ Latinh, là một phần trong chiến dịch gián điệp mạng lớn hơn. Những hoạt động này chỉ ra rằng Lazarus tiếp tục hoạt động vì mục đích tài chính mặc cho hoạt động đàm phán hoà bình đang diễn ra ở Triều Tiên.

Hoạt động khá dày đặc từ Scarcuft, trong đó, phần mềm độc hại Android và backdoor có tên POORWEB đã được sử dụng.

The LuckyMouse APT, mối đe doa nói tiếng Trung vốn được biết đến với tên APT 27, trước đây từng sử dụng ISP ở châu Á để thực hiện tấn công waterhole bằng các website đáng tin cậy, nhắm vào chính phủ Kazakhstan và Mông Cổ vào thời gian các chính phủ nước này tổ chức hội nghị ở Trung Quốc.

VPNFilter được phát hiện bởi Cisco Talos và FBI cho rằng nó chính là Sofacy hoặc Sandworm. Chiến dịch đã cho chúng ta thấy lỗ hổng lớn để tấn công hệ thống mạng nội bộ và kho lưu trữ. Mối đe doạ thậm chí có thể kích hoạt phần mềm độc hại vào lưu lượng truy cập để lây nhiễm các máy tính đằng sau các thiết bị mạng bị nhiễm. Phân tích của Kaspersky Lab xác nhận rằng các dấu vết của chiến dịch này có thể được tìm thấy ở hầu hết các quốc gia.

Vicente Diaz, Nhà Nghiên cứu Bảo mật, Kaspersky Lab GReAT cho biết: “Quý II năm 2018 rất thú vị với hoạt động APT, một vài chiến dịch nổi bật nhắc cho chúng tôi nhớ về những mối đe dọa đã được dự đoán trong những năm qua nay đã phát triển như thế nào. Đặc biệt, chúng tôi đã liên tục cảnh báo rằng phần cứng của mạng lưới là mục tiêu rất lý tưởng cho các cuộc tấn công mục tiêu, đồng thời nhấn mạnh sự tồn tại và lây lan của hoạt động cấp cao tập trung vào các thiết bị liên quan”.

Báo cáo Xu hướng APT Quý II tóm tắt những phát hiện của Kaspersky Lab về mối đe dọa tiềm năng, bao gồm Chỉ số về Thỏa hiệp (IOC) và quy tắc YARA nhằm hỗ trợ và tìm kiếm phần mềm độc hại.

Chi tiết Báo cáo tóm tắt Xu hướng APT Quý II tại địa chỉ: https://securelist.com/apt-trends-report-q2-2018/86487/

 

Góc quảng cáo