Trong chiến dịch phần mềm độc hại HiatusRAT mới, các tác nhân đe dọa đã nhắm mục tiêu vào một máy chủ thuộc Bộ Quốc phòng Hoa Kỳ mà các nhà nghiên cứu mô tả là một cuộc tấn công trinh sát.
Đây là một sự thay đổi đáng kể trong chiến thuật vì các cuộc tấn công trước đây tập trung vào các tổ chức từ Mỹ Latinh và Châu Âu, đang được triển khai để xâm phạm các bộ định tuyến DrayTek Vigor VPN cấp doanh nghiệp được các doanh nghiệp cỡ trung bình sử dụng để kết nối từ xa với mạng công ty.
Tuy nhiên, như Phòng thí nghiệm Black Lotus của Lumen đã quan sát, việc cố gắng theo dõi chiến dịch đã có một bước ngoặt bất ngờ từ giữa tháng 6 đến tháng 8. Một hệ thống mua sắm quân sự của Hoa Kỳ cùng với các tổ chức có trụ sở tại Đài Loan cũng là mục tiêu.
Các mẫu HiatusRAT đã được chỉnh sửa lại để phục vụ cho nhiều kiến trúc khác nhau, từ Arm, Intel 80386 và x86-64 đến MIPS, MIPS64 và i386) và được lưu trữ trên các máy chủ riêng ảo (VPS) mới mua được.
Một trong các node VPS này đã được sử dụng trong hoạt động truyền dữ liệu với máy chủ quân sự của Hoa Kỳ được chỉ định cho các đề xuất và hợp đồng.
Mối liên kết của trang web với các đề xuất hợp đồng cho thấy những kẻ tấn công có thể đang tìm kiếm thông tin có thể truy cập công khai về các nhu cầu quân sự hoặc cố gắng tìm thông tin về các tổ chức liên kết với Cơ sở Công nghiệp Quốc phòng (DIB).
“Chúng tôi nghi ngờ kẻ tấn công đang tìm kiếm các nguồn tài nguyên có sẵn công khai liên quan đến các hợp đồng quân sự hiện tại và tương lai”, Black Lotus Labs của Lumen cho biết.
“Vì trang web này có liên quan đến các đề xuất hợp đồng, chúng tôi nghi ngờ mục tiêu là thu thập thông tin công khai về các yêu cầu quân sự và tìm kiếm các tổ chức liên quan đến Cơ sở Công nghiệp Quốc phòng (DIB), có khả năng là mục tiêu nhắm mục tiêu tiếp theo.”
Chiến dịch HiatusRAT mới (Lumen Black Lotus Labs)
Chiến dịch này diễn ra sau một loạt cuộc tấn công trước đó, trong đó hơn một trăm doanh nghiệp, chủ yếu từ Châu Âu, Bắc Mỹ và Nam Mỹ, đã bị nhiễm HiatusRAT để tạo ra một mạng proxy bí mật.
Phần mềm độc hại chủ yếu được sử dụng để cài đặt các tải trọng bổ sung trên các thiết bị bị nhiễm và chuyển đổi các hệ thống bị xâm nhập thành proxy SOCKS5 để liên lạc với máy chủ ra lệnh và kiểm soát.
Lumen cho biết: “Mặc dù đã tiết lộ trước về các công cụ và khả năng, nhưng kẻ đe dọa đã thực hiện những bước nhỏ nhất để hoán đổi các máy chủ tải trọng hiện có và tiếp tục hoạt động của chúng mà thậm chí không cố gắng định cấu hình lại cơ sở hạ tầng C2 của chúng”.
Như Lumen nhấn mạnh, sự thay đổi trong sở thích thu thập thông tin và nhắm mục tiêu này phù hợp với lợi ích chiến lược của Trung Quốc, một mối liên hệ được nhấn mạnh trong đánh giá mối đe dọa hàng năm ODNI năm 2023.
Các tổ chức của Hoa Kỳ gần đây cũng là mục tiêu trong các cuộc tấn công liên quan đến các nhóm đe dọa khác được Trung Quốc hậu thuẫn, bao gồm Volt Typhoon và Storm-0558.
Lumen kết luận: “Chúng tôi nghi ngờ HiatusRAT cluster đóng vai trò là một ví dụ khác về phương pháp thủ công có thể được áp dụng để chống lại Cơ sở Công nghiệp Quốc phòng Hoa Kỳ được miễn hình phạt. Chúng tôi khuyến nghị các nhà thầu quốc phòng nên thận trọng và giám sát các thiết bị mạng của họ để phát hiện HiatusRAT”.
Nguồn: bleepingcomputer.com
Vina Aspire là nhà cung cấp các giải pháp, dịch vụ CNTT, An ninh mạng, bảo mật & an toàn thông tin tại Việt Nam. Đội ngũ của Vina Aspire gồm những chuyên gia, cộng tác viên giỏi, có trình độ, kinh nghiệm và uy tín cùng các nhà đầu tư, đối tác lớn trong và ngoài nước chung tay xây dựng.
Các Doanh nghiệp, tổ chức có nhu cầu liên hệ Công ty Vina Aspire theo thông tin sau:
Email: info@vina-aspire.com | Tel: +84 944 004 666 | Fax: +84 28 3535 0668 | Website: www.vina-aspire.com
Vina Aspire – Vững bảo mật, trọn niềm tin
Nguồn : https://www.john-partners.us/cac-cuoc-tan-cong-phan-mem-doc-hai-hiatusrat-moi-nham-muc-tieu-vao-bo-quoc-phong-hoa-ky