Một công ty cờ bạc ở Philippines là mục tiêu của một kẻ đe dọa có liên hệ với Trung Quốc như một phần của chiến dịch đang diễn ra kể từ tháng 10 năm 2021.
Công ty an ninh mạng ESET của Slovakia đang theo dõi hàng loạt cuộc tấn công chống lại các công ty cờ bạc Đông Nam Á dưới tên Chiến dịch ChattyGoblin.
“Các cuộc tấn công này sử dụng một chiến thuật cụ thể: nhắm mục tiêu vào các đại lý hỗ trợ của công ty nạn nhân thông qua các ứng dụng trò chuyện – cụ thể là ứng dụng Comm100 và LiveHelp100,” ESET cho biết trong một báo cáo được chia sẻ với The Hacker News.
CrowdStrike lần đầu tiên ghi lại việc sử dụng trình cài đặt Comm100 bị trojan hóa để phát tán phần mềm độc hại. Công ty cho rằng tác nhân đe dọa có khả năng liên kết với Trung Quốc đã xâm phạm chuỗi cung ứng.
Các chuỗi tấn công tận dụng các ứng dụng trò chuyện đã nói ở trên để phân phối một trình nhỏ giọt C#, sau đó triển khai một tệp thực thi C# khác, cuối cùng đóng vai trò như một ống dẫn để đánh rơi đèn hiệu Cobalt Strike trên các máy trạm bị tấn công.
Cũng được nêu bật trong Báo cáo hoạt động APT của ESET Q4 2022–Q1 2023 là các cuộc tấn công do các tác nhân đe dọa có liên kết với Ấn Độ là Donot Team và SideWinder thực hiện nhằm vào các tổ chức chính phủ ở Nam Á.
Một loạt các cuộc tấn công hạn chế khác có liên quan đến một nhóm APT khác của Ấn Độ có tên là Khổng Tử, nhóm này đã hoạt động ít nhất từ năm 2013 và được cho là có quan hệ với nhóm Patchwork. Trước đây, kẻ đe dọa đã sử dụng mồi nhử theo chủ đề Pegasus và các tài liệu mồi nhử khác để nhắm mục tiêu vào các cơ quan chính phủ Pakistan.
Lần xâm nhập mới nhất, theo ESET, liên quan đến việc sử dụng một trojan truy cập từ xa có tên Ragnatela, một biến thể nâng cấp của BADNEWS RAT.
Ở những nơi khác, công ty an ninh mạng cho biết họ đã phát hiện ra kẻ đe dọa người Iran có tên là OilRig (hay còn gọi là Hazel Sandstorm) đang triển khai một bộ phận cấy ghép tùy chỉnh có nhãn Mango cho một công ty chăm sóc sức khỏe của Israel.
Điều đáng chú ý là Microsoft gần đây đã quy kết Storm-0133, một cụm mối đe dọa mới nổi trực thuộc Bộ Tình báo và An ninh (MOIS) của Iran, thực hiện các cuộc tấn công nhắm mục tiêu riêng vào các cơ quan chính quyền địa phương của Israel và các công ty phục vụ lĩnh vực quốc phòng, nhà ở và chăm sóc sức khỏe.
“Nhóm MOIS đã sử dụng trang web hợp pháp nhưng bị xâm phạm của Israel để ra lệnh và kiểm soát (C2), thể hiện sự cải thiện về bảo mật hoạt động, vì kỹ thuật này làm phức tạp nỗ lực của những người bảo vệ, vốn thường tận dụng dữ liệu định vị địa lý để xác định hoạt động mạng bất thường”, Microsoft lưu ý , chỉ ra thêm rằng Storm-0133 phụ thuộc vào phần mềm độc hại Mango trong các cuộc xâm nhập này.
ESET cũng cho biết một nhà cung cấp dịch vụ quản lý dữ liệu giấu tên của Ấn Độ đã phải hứng chịu một cuộc tấn công do Tập đoàn Lazarus do Triều Tiên hậu thuẫn thực hiện vào tháng 1 năm 2023 bằng cách sử dụng chiêu dụ kỹ thuật xã hội theo chủ đề Accenture.
Công ty cho biết: “Mục tiêu của những kẻ tấn công là kiếm tiền từ sự hiện diện của chúng trong mạng của công ty, rất có thể là thông qua thỏa hiệp email doanh nghiệp”.
Tập đoàn Lazarus, vào tháng 2 năm 2023, cũng được cho là đã xâm phạm một nhà thầu quốc phòng ở Ba Lan thông qua các lời mời làm việc giả để bắt đầu một chuỗi tấn công vũ khí hóa phiên bản SumatraPDF đã sửa đổi để triển khai RAT có tên là ScoringMathTea và một mã được tải xuống tinh vi có tên là ImprudentCook.
Làm tròn danh sách là hoạt động lừa đảo trực tiếp từ các nhóm APT có liên kết với Nga như Gamaredon, Sandworm, Sednit, The Dukes và SaintBear, nhóm cuối cùng đã được phát hiện sử dụng phiên bản cập nhật của khung phần mềm độc hại Elephant và một Go mới lạ. – dựa trên backdoor được gọi là ElephantLauncher.
Hoạt động APT đáng chú ý khác được phát hiện trong khoảng thời gian này bao gồm hoạt động của Winter Vivern và YoroTrooper, mà ESET cho biết rất trùng lặp với một nhóm mà nó đã theo dõi dưới tên SturgeonPhisher kể từ đầu năm 2022.
Cho đến nay, các bằng chứng thu thập được cho thấy YoroTrooper đã hoạt động ít nhất là từ năm 2021, với các cuộc tấn công nhắm vào các tổ chức chính phủ, năng lượng và quốc tế trên khắp Trung Á và Châu Âu.
Việc tiết lộ công khai các chiến thuật của nhóm vào tháng 3 năm 2023 bị nghi ngờ đã dẫn đến “sự sụt giảm lớn trong hoạt động”, làm tăng khả năng nhóm hiện đang trang bị lại kho vũ khí và thay đổi phương thức hoạt động.
Phát hiện của ESET dựa trên báo cáo xu hướng APT của chính Kaspersky cho quý 1 năm 2023, báo cáo này đã phát hiện ra một tác nhân đe dọa chưa từng được biết đến trước đây có tên là Trila nhắm mục tiêu vào các tổ chức chính phủ Lebanon bằng cách sử dụng “phần mềm độc hại tự chế cho phép chúng thực thi các lệnh hệ thống Windows từ xa trên các máy bị nhiễm”.
Công ty an ninh mạng của Nga cũng kêu gọi sự chú ý đến việc phát hiện ra một dòng phần mềm độc hại dựa trên Lua mới có tên là DreamLand nhắm mục tiêu vào một cơ quan chính phủ ở Pakistan, đánh dấu một trong những trường hợp hiếm hoi mà một kẻ tấn công APT đã sử dụng ngôn ngữ lập trình này trong các cuộc tấn công tích cực.
Các nhà nghiên cứu của Kaspersky cho biết: “Phần mềm độc hại này là mô-đun và sử dụng ngôn ngữ kịch bản Lua kết hợp với trình biên dịch Just-in-Time (JIT) của nó để thực thi mã độc khó phát hiện”.
“Nó cũng có nhiều khả năng chống sửa lỗi khác nhau và sử dụng API Windows thông qua Lua FFI, sử dụng các ràng buộc ngôn ngữ C để thực hiện các hoạt động của nó.”
