techsignin-kaspersky-lab-cozy-duke

Kaspersky Lab vừa công bố bản báo cáo miêu tả một chiến dịch gián điệp mạng mới sử dụng phần mềm độc hại để tấn công những tổ chức danh giá và chuyên biệt.

Mới đây Kaspersky Lab vừa chính thức công bố bản cáo miêu tả một chiến dịch gián điệp mạng mới và tân tiến, sử dụng phần mềm độc hại để tấn công những tổ chức danh giá và chuyên biệt với mục tiêu có thể bao gồm cả Nhà Trắng và Bộ Ngoại giao Hoa Kỳ, các tổ chức chính phủ và cả những công ty tại Đức, Hàn Quốc và Uzberkistan.

Bên cạnh việc tấn công những cơ quan lớn, tổ chức này cũng có những đặc điểm đáng lo ngại nhưng khá thú vị như sử dụng mật mã và chống lại nhận dạng, ví dụ như đoạn mã có khả năng tấn công những sản phẩm bảo mật như Kaspersky Lab, Sophos, DrWeb, Avira, Crystal và Comodo Dragon.

Về cơ bản thì CozyDuke và các chiến dịch gián điệp mạng khác như MiniDuke, CosmicDuke và OnionDuke có sự giống nhau về cấu trúc và có thể được điều hành bởi một người nói tiếng Nga. Phía Kasspersky đã quan sát và nhận thấy MiniDuke và CosmicDuke vẫn còn hoạt động và nhắm vào các tổ chức ngoại giao và đại sứ quán, các công ty năng lượng, dầu mỏ…

CozyDuke thường tấn công giả mạo bằng email chứa đường link đến một trang web đã bị hack trước đó, thường nổi tiếng và hợp pháp như “diplomacy.pl” kèm những video dạng flash giả mạo, kèm mã độc dropper và backdoor. Sau khi được cài vào máy nạn nhân, backdoor này sẽ tự mở ra một cổng dịch vụ cho phép kẻ tấn công có thể kết nối từ xa tới máy nạn nhân, gửi thông tin của mục tiêu đến server điều khiển và khôi phục lại tập tin cấu hình và các modules khác thực hiện những chức năng mà hacker cần.

Ông Kurt Baumgartner – nhà nghiên cứu bảo mật chính của Bộ phân Nghiên cứu và phân tích toàn cầu của Kaspersky Lab cho biết hãng đã theo dõi MiniDuke và CosmicDuke trong vài năm nay, và chắc chắn CozyDuke có liên hệ tới 2 chiến dịch kể trên cũng như có mối liên quan tới OnionDuke.

AICM – Techsignin

Góc quảng cáo