Kaspersky cảnh báo sự trở lại của Sofacy

12:4514/12/2015

Nhóm Nghiên cứu và Phân tích toàn cầu Kaspersky Lab vừa ra thông báo cảnh báo về sự trở lại của nhóm gián điệp khét tiếng Sofacy – mối đe dọa cao cấp đến từ Nga - đến các tổ chức Quân đội và Chính phủ.

Kể từ năm 2008 cho đến nay, nhóm gián điệp này chưa từng có ý định dừng lại và thời gian gần đây chúng có nhiều công cụ mới, cao cấp hơn. Cụ thể:

  • Kẻ tấn công sử dụng hàng loạt các công cụ ngầm để lây nhiễm một mục tiêu mới với nhiều công cụ độc hại khác nhau như một công cụ tái nhễm khi một công cụ khác bị giải pháp an ninh chặn lại.
  • Dùng đơn bộ hóa phần mềm độc hại để thêm nhiều tính năng cho các công cụ ngầm nhằm vào những module riêng biệt.
  • Sử dụng hệ thống air-gapped để lây nhiễm đánh cắp từ USB, cho phép chúng sao chép dữ liệu từ máy tính trong hệ thống air-papped.


Được biết, năm 2015 cũng là năm tấn côngcủaSofacy bằng cách thâm nhập vào thiết bị và tải xuống nhiều công cụ độc hại bổ sung.

Hiểu nguyên lý hoạt động của tổ chức tội phạm này, Kaspersky Lab đã chặn phần mềm độc hại, tuy nhiên chỉ 1 giờsau khi chặn trojan, một phiên bản khác đãđược kẻ tấn công tạo ra và cài vào PC mục tiêu. Phiên bản này trốn công nghệ AV thông thường, nhưng vẫn bị phát hiện bởi hệ thống phụ phòng chống xâm nhập máy chủ (HIPS).

Trojan “msdeltemp.dll” là công cụ download cho phép tin tặc gửi lệnh và lấy dữ liệu từ máy bị lây nhiễm, cũng được dùng để tải trojan tinh vi hơn vào hệ thống. Nếu trojan thứ yếu bị phần mềm an ninh chặn lại, tin tặc vẫn có thể sử dụng trojan msdeltemp.dll  để lấy phiên bản mới từ C&C và cài đặt lại trên máy bị tấn công.

Ngoài việcthay đổi phương thức phục hồi, các chuyên gia Kaspersky Lab còn phát hiện ra nhiều phiên bản module USB dùng để đánh cắp của Sofacy giúp lấy dữ liệu từ mạng air-gapped. Module USBSTEALER được thiết kế tùy thuộc vào quy luật mà kẻ tấn công đưa vào để theo dõi ổ đĩa di động và lấy cắp file từ chúng. Dữ liệu bị đánh cắp được sao chép vào thư mục ẩn, sau đó kẻ tấn công sẽ lấy nó ra nhờ các phiên bản của AZZY. Những phiên bản đầu tiên của thế hệ module USB dùng để đánh cắp đã có từ tháng 2/2015 và dường như chỉ tập trung vào các mục tiêu cấp cao.

Chia sẻ về sư nguy hiểm có nhóm gián điệp này, Costin Raiu, Giám đốc GReAT Team, Kaspersky Lab cho biết: “Thông thường, khi ai đó công bố nghiên cứu về một nhóm gián điệp mạng, chúng sẽ phản ứng lại bằng cách dừng lại hoặc thay đổi phương thức và chiến thuật. Nhưng với Sofacy thì không phải lúc nào cũng như vậy. Chúng tấn công dồn dập trong nhiều năm liền và hoạt động của chúng cũng bị cộng đồng bảo mật phát hiện rất nhiều lần. Chỉ riêng năm 2015, cái tên Sofacy trở thành mối đe dọa hàng đầutrên đấu trườngchống phần mềm gián điệp. Và chúng tôi có nhiều lí do để khẳng định rằng cuộc tấn công sẽ chưa dừng lại”.

Và Kaspersky Lab khuyến nghị nên sử dụng phương pháp đa tầng có kết hợp của:

  • Công nghệ truyền thống chống phần mềm độc hại
  • Quản lý bản vá lỗi
  • Phát hiện xâm nhập máy chủ
  • Chiến lược whilelist và chặn mặc định


Truy cập vào cập https://apt.securelist.com/#secondPage/language=5 để biết thêm các tin tức về các chiến dịch từ các nhóm gián điệp mạng Nga.

PV





Gửi nhận xét về bài viết:
Họ tên:    Email:
Nội dung:
  • Quảng cáo ASUS
  • DTTD