Tuesday, 25 September 2018
CNTT

Xuất hiện nhóm tội phạm mạng Danti chuyên khai thác lỗ hổng máy tính


securelist-comfiles201605dantiaptpr-2e311c5af3b39ea09d89c89303182adc97d7ed93-1465607721253

Nhóm Nghiên cứu và Phân tích toàn cầu Kaspersky Lab vừa cho biết, họ đã quan sát đợt sóng gián điệp mạng do nhiều nhóm tội phạm mạng khác nhau thực hiện trên khắp khu vực châu Á Thái Bình Dương và vùng Viễn Đông. Tất cả đều có chung một đặc điểm: kẻ tấn công lợi dụng lỗ hổng CVE-2015-2545 để lây nhiễm người dùng bằng phần mềm độc hại.

Lỗ hổng trong phần mềm Microsoft Office này đã được vá vào cuối năm 2015 nhưng vẫn bị nhiều mối đe dọa sử dụng. Platinum, APT16, EvilPost và SPIVY là những nhóm tội phạm đã sử dụng lỗ hổng này và giờ đây, chúng hợp nhất thành cái tên mới: Danti.

Danti tập trung cao vào các tổ chức ngoại giao. Nó có thể có được quyền truy cập vào mạng lưới nội bộ trong nhiều tổ chức chính phủ Ấn Độ. Theo mạng lưới bảo mật Kaspersky, nhiều trojan từ Danti đã được phát hiện tại Kazakhstan, Kyrgyzstan, Uzbekistan, Myanmar, Nepal và the Philippines. Hoạt động của nó bị phát hiện lần đầu tiên vào tháng 2, tiếp tục sang tháng 3 và cho đến tận bây giờ.

Việc khai thác được thực hiện thông qua những email có liên kết đến những trang web lừa đảo. Nhằm thu hút sự chú ý của nạn nhân, những kẻ đứng sau Danti đã tạo ra email dưới danh nghĩa của những quan chức cấp cao trong chính phủ Ấn Độ. Một khi việc khai thác lỗ hổng được thực hiện, backdoor Danti được cài đặt và giúp kẻ tấn công có được quyền truy cập vào máy tính bị lây nhiễm và lấy đi thông tin nhạy cảm.

Nguồn gốc Danti hiện vẫn chưa rõ nhưng những nhà nghiên cứu có lí do để nghi ngờ rằng nhóm này có liên quan đến nhóm Nettraveler và DragonOK. Tin chắc rằng hacker nói tiếng Trung đứng sau những nhóm này.

Bên cạnh đó, các nhà nghiên cứu tại Kaspersky Lab đã phát hiện nhiều cuộc tấn công vào lỗ hổng CVE-2015-2545 không rõ nguồn gốc vào nhiều tổ chức tại Đài Loan và Thái Lan. Các cuộc tấn công này được đặt tên theo trojan được tải xuống sau khi lỗ hổng bị khai thác – SVCMONDR. Trojan này khác với những trojan Danti sử dụng nhưng chúng có điểm chung với Danti và APT16 – nhóm gián điệp mạng được cho rằng đến từ Trung Quốc.

Phan Tuấn



Xem nguồn