Nhóm APT “Earth Estries” sử dụng mã độc GHOSTSPIDER trong chiến dịch tấn công nhằm vào ngành viễn thông tại hơn 12 quốc gia

Gần đây, các chuyên gia bảo mật đã ghi nhận nhóm tấn công Earth Estries đang sử dụng mã độc backdoor mới có tên “GHOSTSPIDER” trong chiến dịch tấn công nhằm vào công ty thuộc ngành điện tử viễn thông tại các quốc gia Đông Nam Á.

Trong chiến dịch, nhóm đối tượng còn sử dụng mã độc backdoor đa nền tảng MASOL RAT (Backdr-NQ) lên các hệ thống Linux thuộc hệ thống mạng của chính phủ tại các quốc gia này.

APT48.jpeg

Gần đây, các chuyên gia bảo mật đã ghi nhận nhóm tấn công Earth Estries đang sử dụng mã độc backdoor mới có tên “GHOSTSPIDER” trong chiến dịch tấn công nhằm vào công ty thuộc ngành điện tử viễn thông tại các quốc gia Đông Nam Á. Trong chiến dịch, nhóm đối tượng còn sử dụng mã độc backdoor đa nền tảng MASOL RAT (Backdr-NQ) lên các hệ thống Linux thuộc hệ thống mạng của chính phủ tại các quốc gia này.

Theo thống kê từ chuyên gia bảo mật, Earth Estries đã thành công xâm nhập vào hơn 20 tổ chức thuộc lĩnh vực điện tử viễn thông, công nghệ, tư vấn, hóa học, vận chuyển và các đơn vị thuộc chính phủ cũng như các tổ chức phi lợi nhuận. Hiện danh scác quốc gia bị ảnh hưởng được ghi nhận cụ thể như sau: Afghanistan, Brazil, Eswatini, Ấn Độ, Indonesia, Malaysia, Pakistan, Philippines, Nam Phi, Đài Loan, Thái Lan, Mỹ và Việt Nam.

Nhóm tấn công Earth Estries đã đi vào hoạt động kể từ năm 2020 với các tên khác như FamousSparrow, GhostEmperor, Salt Typhoon và UNC2286, nhằm vào các đơn vị chính phủ, công ty điện tử viễn thông tại Mỹ, các quốc gia cùng Châu Á Thái Bình Dương, Trung Đông và Nam Phi.

Một số công cụ đáng chú ý được sử dụng bởi nhóm là rootkit Demodex và mã độc Deed RAT (SNAPPYBEE), là phiên bản mã độc cải tiến của ShadowPad và được sử dụng bởi nhiều nhóm APT thuộc Trung Quốc. Ngoài ra, nhóm Earth Estries còn sử dụng các mã độc backdoor, đánh cắp thông tin như Crowdoor, SparrowDoor, HemiGate, TrillClient và Zingdoor.

Việc xâm nhập đầu vào của nhóm được thực hiện thông qua khai thác các lỗ hổng an toàn thông tin tồn tại trên Ivanti Connect Secure (CVE-2023-46805 và CVE-2024-21887), Fortinet FortiClient EMS (CVE-2023-48788), Sophos Firewall (CVE-2022-3236), Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, và CVE-2021-27065 hay ProxyLogon). Sau đó, nhóm đối tượng sẽ triển khai các mã độc như Deed RAT, Demodex và GHOSTSPIDER với mục đích gián điệp không gian mạng dài hạn.

Được biết, hạ tầng C&C phức tạp với nhiều backdoor được quản lý bởi các đội hạ tầng khác nhau đã tô điểm cho tính phức phức tạp trong hoạt động của nhóm đối tượng tấn công. Trong đó, GHOSTSPIDER kết nối tới hạ tầng này sử dụng giao thức liên lạc tự tạo được bảo vệ bởi TLS và tải xuống các module bổ sung chức năng cần thiết cho mục tiêu tấn công của nhóm đối tượng.

Ý kiến từ các chuyên gia bảo mật cho rằng: “Earth Estries thực hiện các chiến dịch tấn công một cách kín đáo bắt đầu từ các thiết bị nằm ở viền của không gian mạng và phát tán tới môi trường cloud khiến việc phát hiện trở nên khó khăn. Nhóm đối tượng còn sử dụng kết hợp nhiều biện pháp thiết lập mạng vận hành có vai trò che giấu dấu vết hoạt động của nhóm, qua đó cho thấy nhóm đối tượng này có một cách tiếp cận tinh vi tới việc xâm nhập, theo dõi mục tiêu của mình”.

Ngoài ra, các công ty điện tử viễn thông gần đây đã trở thành mục tiêu của nhiều nhóm tấn công có liên kết tới Trung Quốc như Granite Typhoon và Liminal Panda.

Danh sách một số IoC được ghi nhận

Danh sách IoC 48.jpg

Danh sách IoC sẽ được cập nhật liên tục tại https://alert.khonggianmang.vn/

Cùng chuyên mục

Tin khác

Triệt phá đường dây sản xuất, buôn bán hàng giả là thuốc chữa bệnh, thuốc phòng bệnh

Triệt phá đường dây sản xuất, buôn bán hàng giả là thuốc chữa bệnh, thuốc phòng bệnh

Ngày 15/01/2025, Công an Thành phố (CATP) Hồ Chí Minh cho biết, Cơ quan Cảnh sát điều tra (Phòng Cảnh sát kinh tế) CATP đã khởi tố, bắt tạm giam 22 đối tượng về tội “sản xuất, buôn bán hàng giả là thuốc chữa bệnh, thuốc phòng bệnh”, quy định tại Điều 194 Bộ luật Hình sự,
Cao Bằng phát hiện, thu giữ hơn 600kg pháo nổ nhập lậu

Cao Bằng phát hiện, thu giữ hơn 600kg pháo nổ nhập lậu

Ngày 14/01/2025, Công an tỉnh Cao Bằng cho biết, Phòng Cảnh sát hình sự Công an tỉnh vừa phát hiện, thu giữ 606,2 kg pháo nổ nhập lậu.
Thủ tướng chỉ đạo đẩy mạnh phát triển thị trường trong nước, kích cầu tiêu dùng dịp Tết Nguyên đán Ất Tỵ 2025

Thủ tướng chỉ đạo đẩy mạnh phát triển thị trường trong nước, kích cầu tiêu dùng dịp Tết Nguyên đán Ất Tỵ 2025

Thủ tướng Chính phủ Phạm Minh Chính vừa ký Công điện số 02/CĐ-TTg ngày 15/1/2025 về việc tiếp tục đẩy mạnh phát triển thị trường trong nước, kích cầu tiêu dùng dịp Tết Nguyên đán Ất Tỵ 2025.
Tổng cục QLTT mở cửa Phòng trưng bày giúp người dân phân biệt hàng thật - hàng giả

Tổng cục QLTT mở cửa Phòng trưng bày giúp người dân phân biệt hàng thật - hàng giả

Sáng ngày 14/01/2025 tại 62 Tràng Tiền, Hoàn Kiếm, thành phố Hà Nội, Tổng cục Quản lý thị trường (QLTT) tổ chức mở cửa Phòng trưng bày giúp người dân phân biệt hàng thật - hàng giả. Phòng trưng bày được tổ chức vào dịp người dân cả nước chuẩn bị đón Tết cổ truyền dân tộc, nhu cầu mua sắm tăng cao, xuất hiện tình trạng trà trộn các sản phẩm kém chất lượng lưu thông trên thị trường.
Chính phủ năm 2025: Kỷ cương trách nhiệm; chủ động kịp thời; tinh gọn hiệu quả; tăng tốc bứt phá

Chính phủ năm 2025: Kỷ cương trách nhiệm; chủ động kịp thời; tinh gọn hiệu quả; tăng tốc bứt phá

Chính phủ vừa ban hành Nghị quyết 09/NQ-CP Hội nghị Chính phủ với địa phương và Phiên họp Chính phủ thường kỳ tháng 12 năm 2024, trong đó thống nhất chủ đề điều hành của năm 2025 là "Kỷ cương trách nhiệm; chủ động kịp thời; tinh gọn hiệu quả; tăng tốc bứt phá".
Hội nghị toàn quốc về đột phá trong phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi Số Quốc gia

Hội nghị toàn quốc về đột phá trong phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi Số Quốc gia

Ngày 13/1/2025, tại Hội trường Diên Hồng – Nhà Quốc hội, Ban Bí thư Trung ương Đảng tổ chức Hội nghị toàn quốc về đột phá phát triển khoa học, công nghệ, đổi mới sáng tạo và chuyển đổi số quốc gia.
Kiểm soát nhập khẩu thuốc Spravato và hạt cây có chứa chất ma túy

Kiểm soát nhập khẩu thuốc Spravato và hạt cây có chứa chất ma túy

Tại Công văn số 296/VPCP-KGVX ngày 10/1/2025, Phó Thủ tướng Lê Thành Long có ý kiến chỉ đạo về kiểm soát nhập khẩu thuốc Spravato và hạt cây có chứa chất ma túy.
Khởi tố các đối tượng vận chuyển, mua bán pháo hoa nổ

Khởi tố các đối tượng vận chuyển, mua bán pháo hoa nổ

Vào thời điểm gần đến Tết Nguyên đán, tình hình tội phạm, vi phạm pháp luật về pháo diễn biến phức tạp, đặc biệt là hành vi mua bán, vận chuyển, tàng trữ pháo nổ trái phép.
Xem thêm

Đọc nhiều / Mới nhận