Phần mềm độc hại Daxin do Trung Quốc liên kết đã nhắm mục tiêu vào nhiều chính phủ trong các cuộc tấn công gián điệp

Các cuộc tấn công gián điệp mạng

Một công cụ gián điệp không có tài liệu trước đây đã được triển khai chống lại các chính phủ được chọn và các mục tiêu khác như một phần của chiến dịch gián điệp kéo dài do các kẻ đe dọa có liên hệ với Trung Quốc tổ chức kể từ ít nhất là năm 2013.

Nhóm Symantec Threat Hunter của Broadcom đã mô tả backdoor, có tên Daxin, là một có công nghệ tiên tiến, cho phép những kẻ tấn công thực hiện nhiều hoạt động liên lạc và thu thập thông tin nhằm vào các thực thể trong lĩnh vực viễn thông, vận tải và sản xuất có lợi ích chiến lược. tới Trung Quốc.

Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) cho biết: “Phần mềm độc hại Daxin là một backdoor rootkit rất tinh vi với chức năng điều khiển và kiểm soát (C2) phức tạp, cho phép các tác nhân từ xa giao tiếp với các thiết bị bảo mật không được kết nối trực tiếp với internet” trong một cuộc tư vấn độc lập.

Bộ phận cấy ghép này có dạng một trình điều khiển nhân Windows, thực hiện một cơ chế giao tiếp phức tạp giúp phần mềm độc hại có khả năng tàng hình cao và khả năng nói chuyện với các máy bị ngắt kết nối Internet.

Nó đạt được điều này bằng cách rõ ràng tránh khởi chạy các dịch vụ mạng của riêng mình, thay vào đó chọn tận dụng các dịch vụ TCP / IP hợp pháp đang chạy trên các máy tính bị nhiễm virus để kết hợp giao tiếp của nó với lưu lượng bình thường trên mạng của mục tiêu và nhận lệnh từ một máy ngang hàng từ xa.

Xem tiếp:   Trojan Banking Android mới lây lan qua Cửa hàng Google Play Nhắm mục tiêu đến người châu Âu

Các cuộc tấn công gián điệp mạng

“Các tính năng này gợi nhớ đến Regin”, các nhà nghiên cứu lưu ý, đề cập đến một bộ công cụ hack và phần mềm độc hại tinh vi khác do Cơ quan An ninh Quốc gia Hoa Kỳ (NSA) cho các hoạt động gián điệp của chính phủ vào năm 2014.

Trong số các khía cạnh bất thường của Daxin, bên cạnh việc không tạo ra lưu lượng truy cập mạng đáng ngờ nào để không bị phát hiện, là khả năng chuyển tiếp các lệnh qua mạng các máy tính bị nhiễm trong tổ chức bị tấn công, tạo ra “kênh liên lạc đa nút” cho phép truy cập định kỳ vào máy tính bị xâm phạm máy tính trong thời gian dài.

Trong khi các cuộc xâm nhập gần đây liên quan đến backdoor được cho là đã xảy ra vào tháng 11 năm 2021, Symantec cho biết họ đã phát hiện ra những điểm chung cấp mã với một phần mềm độc hại cũ hơn có tên Exforel (hay còn gọi là Zala), cho thấy rằng Daxin có thể đã được xây dựng bởi một tác nhân có quyền truy cập vào cơ sở mã của sau này hoặc chúng là tác phẩm của cùng một nhóm.

Các chiến dịch không được quy cho một kẻ thù duy nhất, nhưng dòng thời gian của các cuộc tấn công cho thấy Daxin đã được cài đặt trên một số hệ thống tương tự, nơi các công cụ liên kết với các diễn viên gián điệp Trung Quốc khác như Slug đã được tìm thấy. Điều này bao gồm việc triển khai cả phần mềm độc hại Daxin và Owprox trên một máy tính của một công ty công nghệ vào tháng 5 năm 2020.

Xem tiếp:   Biến thể Botnet Phorpiex mới đánh cắp nửa triệu đô la tiền điện tử

“Daxin chắc chắn là phần mềm độc hại tiên tiến nhất […] Các nhà nghiên cứu cho biết: “Xem xét khả năng của nó và bản chất của các cuộc tấn công đã triển khai, Daxin dường như được tối ưu hóa để sử dụng chống lại các mục tiêu cứng, cho phép những kẻ tấn công chui sâu vào mạng của mục tiêu và lấy cắp dữ liệu mà không cần làm dấy lên những nghi ngờ. “

Tiết lộ được đưa ra một tuần sau khi Pangu Lab có trụ sở tại Trung Quốc đưa ra một cửa hậu “hàng đầu” có tên Bvp47 được Cơ quan An ninh Quốc gia Hoa Kỳ đưa vào sử dụng trong hơn một thập kỷ nhằm vào 287 tổ chức tại 45 quốc gia chủ yếu ở Trung Quốc, Quốc, Nhật Bản, Đức, Tây Ban Nha, Ấn Độ và Mexico.

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …