Cập nhập 05/09/2017:
nay nhóm hacker 1937CN đã bổ sung lên đến hơn 20 địa chỉ IP máy chủ điều khiển
mã độc, hơn 100 tên miền máy chủ độc hại (với đa phần là tên miền phụ - Sub
Domain) và nhiều mã NewCore RAT khác.
1. Luôn
luôn cập nhập hệ điều hành và các bản vá lỗi Remote Code Execution.
2. Cập nhập ngay phần mềm diệt virus đang sử dụng hoặc
cài đặt ngay phần mềm diệt virus uy tín. Không bấm vào đường
link lạ hoặc các email lạ.
tin 23/08/2017:
kết quả nghiên cứu của Votiro Secured và ClearSky, một chiến dịch tấn công có
chủ đích (APT) được phát hiện khi 02 tài liệu độc hại khai thác lỗi
CVE-2012-0158 đã được gửi tới Virus Total vào đầu tháng 8 bao gồm:
Tennis và bóng bàn giải CĐTTTT.doc” (MD5: 58c4d4e0aaefe4c5493243c877bbbe74)
2. Ngày 10/08/2017: “517_CV-DU 10.8 sao gui CV 950-CV-BTCTW 18.5
sao gửi văn bản xác định tương đương trình độ cao cấp lý luận chính trị.doc”
(MD5: b147314203f74fdda266805cf6f84876)
Sau khi theo dõi các mẩu, các nhà nghiên cứu phát hiện ra hàng loạt
phần mềm độc hại đang hoạt động để tấn công có chủ đích (APT) nhằm vào các tổ
chức, cơ quan, doanh nghiệp tại Việt Nam. Liên kết tới nhóm đã được tìm thấy
thông qua các tên miền độc hại được sử dụng làm máy chủ C&C, một số trong số
đó, chẳng hạn như dcsvn.org (một trang giả mạo của trang web Đảng Cộng sản
Việt Nam), đã hoạt động từ năm 2015. Nhưng trang web này cung cấp liên kết đến
nhóm hacker 1937CN của Trung Quốc.
nhóm hacker 1937CN của Trung Quốc, nhóm hacker bị nghi đã tấn công hệ thống
thông tin của sân bay Nội Bài và Tân Sơn Nhất hồi tháng 7/2016. Năm 2016, hãng
hàng không Việt Nam là nạn nhân của một cuộc tấn công phối hợp, trong đó phần mềm
độc hại đã được cài đặt trên máy của quản trị viên để gián điệp và truy cập từ
xa. Trang web của hãng hàng không bị làm hư hỏng nhưng bị thay thế bởi một
thông điệp từ nhóm 1937CN và rò rỉ thông tin dữ liệu của hơn 400.000 người đăng
ký trực tuyến cho chương trình Golden Lotus. Đồng thời, hệ thống âm thanh và
màn hình tại Tân Sơn Nhất và Nội Bài, hai sân bay lớn nhất Việt Nam, đã được sửa
đổi để truyền bá thông điệp chính trị. Trước đó, theo báo cáo vào tháng
05/2016, nhóm 1937CN đã hack khoảng 1000 trang web của Việt Nam, bao gồm 15 cổng
thông tin của Chính phủ và 50 trang web về giáo dục.
cùng một URL (dcsvn.org) là máy chủ C&C điều khiển từ xa phần mềm độc hại,
nó có khả năng thâm nhập sâu vào hệ thống mạng và phá hủy hệ thống.
THỨC LÂY NHIỄM:
giống như những chiến dịch tấn công APT khác, tin tặc phát tán các tài liệu chứa
mã độc thông qua email. Và để thu hút hơn sự chú ý của các nạn nhân, tin tặc sử
dụng các file văn bản giả mạo với tựa đề và nội dung chứa nhiều thông tin liên
quan đến Chính phủ Việt Nam. Như vậy phần mềm độc hại lây lan qua email lừa đảo
trực tuyến kèm theo các tài liệu RTF độc hại trong tệp đính kèm. Các file doc
này chứa mã độc RAT (Remote Access Trojan), loại mã độc này có thể dễ dàng
"qua mặt" các phần mềm bảo mật vì nó tự cải trang thành phần mềm chống
vi rút (cụ thể là McAfee) hoặc bằng cách giả mạo các phần mềm hợp pháp như
GoogleUpdate.exe, và thường trốn tránh trong một khoảng thời gian mà không bị
phát hiện trong khi nó tập hợp thu thập ID tài khoản và mật khẩu người dùng. Nó
cũng dễ dàng cho phép điều khiển từ xa máy tính nạn nhân, vì vậy kẻ tấn công có
thể thực hiện nhiều hành động độc hại khác nhau như xóa dấu vết, thay đổi tệp
âm thanh, hiển thị thông tin trên màn hình, mã hóa dữ liệu ... Ngoài ra, phần mềm
độc hại cũng có các thành phần chuyên dùng để thao tác cơ sở dữ liệu SQL.
NewCore RAT, mã độc gửi các thông tin sau đến máy chủ điều khiển C&C:
được cài mật mã. RAT này là một tệp DLL và có khả năng điều khiển từ xa như sau:
của Passive Total chúng ta biết rằng các địa chỉ IP này được chỉ tới bởi các
máy chủ sau đây:
XEM
BẢN BÁO CÁO ĐẦY ĐỦ CỦA VOTIRO & CLEARSKY: https://drive.google.com/open?id=0B0KEq9LY1nmXRTV4QW1fbTdjSlU