Ngày 09 tháng 2 năm 2023Ravie LakshmananTấn công mạng / Đe dọa mạng
Một tác nhân đe dọa chưa biết trước đây được mệnh danh là Tin TứcChim Cánh Cụt đã được liên kết với một chiến dịch lừa đảo nhắm vào các thực thể Pakistan bằng cách tận dụng hội chợ hàng hải quốc tế sắp tới như một sự thu hút.
“Kẻ tấn công đã gửi các email lừa đảo được nhắm mục tiêu với một tài liệu được vũ khí hóa đính kèm có mục đích là hướng dẫn sử dụng triển lãm cho PIMEC-23”, Nhóm nghiên cứu và tình báo của BlackBerry cho biết.
PIMEC, viết tắt của Hội nghị và Triển lãm Hàng hải Quốc tế Pakistan, là một sáng kiến của Hải quân Pakistan và được Bộ Hàng hải tổ chức với mục đích “bắt đầu phát triển trong lĩnh vực hàng hải.” Nó dự kiến được tổ chức từ ngày 10 đến ngày 12 tháng 2 năm 2023.
Công ty an ninh mạng Canada cho biết các cuộc tấn công được thiết kế để nhắm mục tiêu vào các thực thể liên quan đến hàng hải và khách tham quan sự kiện bằng cách lừa người nhận tin nhắn mở tài liệu Microsoft Word dường như vô hại.
Sau khi tài liệu được khởi chạy, một phương pháp gọi là tiêm mẫu từ xa được sử dụng để tìm nạp tải trọng giai đoạn tiếp theo từ máy chủ do tác nhân kiểm soát được định cấu hình để chỉ trả lại phần mềm nếu yêu cầu được gửi từ một địa chỉ IP ở Pakistan.
BlackBerry cho biết họ phát hiện máy chủ đang lưu trữ hai tệp lưu trữ ZIP không có bất kỳ mật khẩu bảo vệ nào, một trong số đó bao gồm tệp thực thi Windows (updates.exe) có chức năng như một công cụ gián điệp bí mật có khả năng vượt qua hộp cát và máy ảo.
Hơn nữa, nội dung của tệp nhị phân được mã hóa bằng thuật toán mã hóa XOR, trong đó khóa XOR là “chim cánh cụt”. Phản hồi HTTP chứa cửa hậu cũng đi kèm với tham số tên trong tiêu đề phản hồi Bố trí nội dung được đặt thành “getlatestnews”.
Cái tên NewsPenguin là tham chiếu đến khóa XOR không phổ biến và tham số tên, BlackBerry không tìm thấy sự chồng chéo chiến thuật nào kết nối phần mềm độc hại với bất kỳ nhóm hoặc tác nhân đe dọa nào hiện đã biết.
Một phân tích về miền lưu trữ các tải trọng cho thấy rằng miền này đã được đăng ký từ ngày 30 tháng 6 năm 2022, cho thấy một số mức độ lập kế hoạch trước cho chiến dịch đồng thời thực hiện các bước để lặp lại bộ công cụ của nó.
BlackBerry cho biết: “Vì mục tiêu là một sự kiện do Hải quân Pakistan điều hành, điều đó ngụ ý rằng tác nhân đe dọa đang tích cực nhắm mục tiêu vào các tổ chức chính phủ, chứ không phải đây là một cuộc tấn công có động cơ tài chính”.
