CMC cảnh báo chiến dịch APT mới lợi dụng bộ gõ Unikey tấn công người dùng Việt Nam

Hệ thống giám sát và phòng thủ mã độc tập trung CMDD của Công ty CMC Cyber Security vừa phát hiện mẫu mã độc sử dụng kỹ thuật mới lợi dụng phần mềm gõ chữ tiếng Việt Unikey để tấn công người dùng Việt Nam.


Xuất hiện chiến dịch APT mới lợi dụng bộ gõ Unikey tấn công người dùng Việt | Cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam | CMC Cyber Security cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam

Theo ghi nhận của CMC Cyber Security Lab, các cuộc tấn công APT hiện nay được tổ chức tinh vi với các kỹ thuật mới liên tục được cập nhật (Ảnh minh họa: Internet)


Chuyên gia Công ty CMC Cyber Security nhận định, chiến dịch tấn công có chủ đích APT mới được phát hiện là chiến dịch tấn công được đầu tư nghiên cứu kỹ, rất nguy hiểm vì Unikey hiện là bộ gõ tiếng Việt phổ biến nhất ở Việt Nam.


Theo phân tích của chuyên gia CMC Cyber Security, thông thường, bộ cài Unikey gồm 2 tập tin chính là UnikeyNT.exe và UKhook40.dll. Trong phiên bản mới, UKHook40.dll đã được tích hợp luôn vào file UnikeyNT.exe.


Khi chạy Unikey sẽ tải layout bàn phím us - qua đó thực thi dll kdbus.dll của windows. Lợi dụng đặc điểm này, hacker đã chèn vào một tập tin kbdus.dll độc hại vào cùng thư mục với UnikeyNT.exe để tệp tin này được ưu tiên tải lên thay vì dll của windows. Vì thế khi Unikey được bật, thì đồng thời mã độc cũng sẽ được thực thi theo mà không gây nghi ngờ gì cho người dùng.


Xuất hiện chiến dịch APT mới lợi dụng bộ gõ Unikey tấn công người dùng Việt | Cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam | CMC Cyber Security cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam

Khi tập tin mã độc kbdus.dll được chạy, nó sẽ đọc giá trị đặc biệt đã được chuẩn bị sẵn tại khóa registry HKEY_CLASS_ROOT\.kci\PersistenHandler có tên là "CB5JQLWSYQP2CWVRMJ8NB4CCUE1B8K4A" để lấy thông tin về C&C  (máy chủ điều khiển - PV) sẽ kết nối tới. Mã độc sau đó tiếp tục đọc và thực thi payload chính nằm trong cùng khóa trên có giá trị "F430D64D98E6EAC972380D568F080E08". Payload và các giá trị đặc biệt này đều được mã hóa và chỉ decrypt trong quá trình thực thi của mã độc, qua đó tránh được sự giám sát của các công cụ bảo mật.


Xuất hiện chiến dịch APT mới lợi dụng bộ gõ Unikey tấn công người dùng Việt | Cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam | CMC Cyber Security cảnh báo chiến dịch APT mới lợi dụng Unikey tấn công người dùng Việt Nam

Sau khi tải payload lên bộ nhớ, mã độc sẽ thu thập các thông tin của máy tính nạn nhân. Các thông tin thu thập được sẽ được mã hóa và gửi đến C&C server. Sau khi có được thông tin cần thiết, mã độc sẽ thực thi command từ C&C để thực hiện các hành vi nguy hiểm khác.


Chuyên gia CMC Cyber Security khuyến cáo người sử dụng nên kiểm tra kỹ thư mục cài đặt Unikey, loại bỏ file kbdus.dll cùng thư mục hoặc sử dụng sản phẩm chống mã độc để bảo vệ máy tính của mình và chỉ sử dụng unikey chính chủ tải từ trang web chính thức của phần mềm Unikey.org.


Theo ghi nhận của CMC Cyber Security Lab, các cuộc tấn công APT hiện nay được tổ chức tinh vi với các kỹ thuật mới liên tục được cập nhật. Do đó, các cơ quan, tổ chức cần có ý thức cao trong việc đảm bảo an ninh an toàn thông tin cho hệ thống của mình, kịp thời cập nhật các cảnh báo của các đơn vị chức năng chuyên trách về an toàn, an ninh thông tin để có phương án rà soát, phòng chống và ứng phó trước các mối nguy hại có thể xảy ra.


Công ty CMC Cyber Security cũng cho biết hiện tại đơn vị này đã cập nhật mẫu mã độc kbdus.dll trong phần mềm phòng chống mã độc CMDD (CMC Malware Detection and Defense), CMC Internet Security, CMC Antivirus. Người dùng có thể tải phần mềm diệt virus miễn phí  CMC Antivirus tại đây.


APT (Advanced Persistent Threat) là hình thức tấn công mạng có mục tiêu cụ thể do tin tặc sử dụng các công nghệ tiên tiến và kỹ thuật lừa đảo để đột nhập mạng mục tiêu và dai dẳng tập trung vào mục tiêu đó trong thời gian dài cho đến khi cuộc tấn công diễn ra thành công (hoặc bị chặn đứng).


Hậu quả của các cuộc tấn công APT là vô cùng nặng nề: tài sản trí tuệ bị đánh cắp (bí mật thương mại hoặc bằng sáng chế…); thông tin nhạy cảm bị xâm nhập (dữ liệu cá nhân, hồ sơ nhân viên…); cơ sở hạ tầng quan trọng của tổ chức bị phá hủy (cơ sở dữ liệu, máy chủ quản trị…) hay toàn bộ tên miền của tổ chức bị chiếm đoạt.


Theo đánh giá của các chuyên gia, tấn công APT tại Việt Nam đang ngày càng gia tăng cả về số lượng và mức độ tinh vi. Thời gian gần đây, các cơ quan, doanh nghiệp hoạt động trong lĩnh vực an toàn, an ninh mạng tại Việt Nam đã phát hiện được nhiều chiến dịch tấn công mạnh mẽ vào các ngân hàng, tổ chức tài chính cũng như nhiều cơ quan khối Chính phủ.


M.T


Loading...







CMC canh bao chien dich APT moi loi dung bo go Unikey tan cong nguoi dung Viet Nam


He thong giam sat va phong thu ma doc tap trung CMDD cua Cong ty CMC Cyber Security vua phat hien mau ma doc su dung ky thuat moi loi dung phan mem go chu tieng Viet Unikey de tan cong nguoi dung Viet Nam.


Xuat hien chien dich APT moi loi dung bo go Unikey tan cong nguoi dung Viet | Canh bao chien dich APT moi loi dung Unikey tan cong nguoi dung Viet Nam | CMC Cyber Security canh bao chien dich APT moi loi dung Unikey tan cong nguoi dung Viet Nam

Theo ghi nhan cua CMC Cyber Security Lab, cac cuoc tan cong APT hien nay duoc to chuc tinh vi voi cac ky thuat moi lien tuc duoc cap nhat (Anh minh hoa: Internet)


Chuyen gia Cong ty CMC Cyber Security nhan dinh, chien dich tan cong co chu dich APT moi duoc phat hien la chien dich tan cong duoc dau tu nghien cuu ky, rat nguy hiem vi Unikey hien la bo go tieng Viet pho bien nhat o Viet Nam.


Theo phan tich cua chuyen gia CMC Cyber Security, thong thuong, bo cai Unikey gom 2 tap tin chinh la UnikeyNT.exe va UKhook40.dll. Trong phien ban moi, UKHook40.dll da duoc tich hop luon vao file UnikeyNT.exe.


Khi chay Unikey se tai layout ban phim us - qua do thuc thi dll kdbus.dll cua windows. Loi dung dac diem nay, hacker da chen vao mot tap tin kbdus.dll doc hai vao cung thu muc voi UnikeyNT.exe de tep tin nay duoc uu tien tai len thay vi dll cua windows. Vi the khi Unikey duoc bat, thi dong thoi ma doc cung se duoc thuc thi theo ma khong gay nghi ngo gi cho nguoi dung.


Xuat hien chien dich APT moi loi dung bo go Unikey tan cong nguoi dung Viet | Canh bao chien dich APT moi loi dung Unikey tan cong nguoi dung Viet Nam | CMC Cyber Security canh bao chien dich APT moi loi dung Unikey tan cong nguoi dung Viet Nam

Khi tap tin ma doc kbdus.dll duoc chay, no se doc gia tri dac biet da duoc chuan bi san tai khoa registry HKEY_CLASS_ROOT\.kci\PersistenHandler co ten la "CB5JQLWSYQP2CWVRMJ8NB4CCUE1B8K4A" de lay thong tin ve C&C  (may chu dieu khien - PV) se ket noi toi. Ma doc sau do tiep tuc doc va thuc thi payload chinh nam trong cung khoa tren co gia tri "F430D64D98E6EAC972380D568F080E08". Payload va cac gia tri dac biet nay deu duoc ma hoa va chi decrypt trong qua trinh thuc thi cua ma doc, qua do tranh duoc su giam sat cua cac cong cu bao mat.


Xuat hien chien dich APT moi loi dung bo go Unikey tan cong nguoi dung Viet | Canh bao chien dich APT moi loi dung Unikey tan cong nguoi dung Viet Nam | CMC Cyber Security canh bao chien dich APT moi loi dung Unikey tan cong nguoi dung Viet Nam

Sau khi tai payload len bo nho, ma doc se thu thap cac thong tin cua may tinh nan nhan. Cac thong tin thu thap duoc se duoc ma hoa va gui den C&C server. Sau khi co duoc thong tin can thiet, ma doc se thuc thi command tu C&C de thuc hien cac hanh vi nguy hiem khac.


Chuyen gia CMC Cyber Security khuyen cao nguoi su dung nen kiem tra ky thu muc cai dat Unikey, loai bo file kbdus.dll cung thu muc hoac su dung san pham chong ma doc de bao ve may tinh cua minh va chi su dung unikey chinh chu tai tu trang web chinh thuc cua phan mem Unikey.org.


Theo ghi nhan cua CMC Cyber Security Lab, cac cuoc tan cong APT hien nay duoc to chuc tinh vi voi cac ky thuat moi lien tuc duoc cap nhat. Do do, cac co quan, to chuc can co y thuc cao trong viec dam bao an ninh an toan thong tin cho he thong cua minh, kip thoi cap nhat cac canh bao cua cac don vi chuc nang chuyen trach ve an toan, an ninh thong tin de co phuong an ra soat, phong chong va ung pho truoc cac moi nguy hai co the xay ra.


Cong ty CMC Cyber Security cung cho biet hien tai don vi nay da cap nhat mau ma doc kbdus.dll trong phan mem phong chong ma doc CMDD (CMC Malware Detection and Defense), CMC Internet Security, CMC Antivirus. Nguoi dung co the tai phan mem diet virus mien phi  CMC Antivirus tai day.


APT (Advanced Persistent Threat) la hinh thuc tan cong mang co muc tieu cu the do tin tac su dung cac cong nghe tien tien va ky thuat lua dao de dot nhap mang muc tieu va dai dang tap trung vao muc tieu do trong thoi gian dai cho den khi cuoc tan cong dien ra thanh cong (hoac bi chan dung).


Hau qua cua cac cuoc tan cong APT la vo cung nang ne: tai san tri tue bi danh cap (bi mat thuong mai hoac bang sang che…); thong tin nhay cam bi xam nhap (du lieu ca nhan, ho so nhan vien…); co so ha tang quan trong cua to chuc bi pha huy (co so du lieu, may chu quan tri…) hay toan bo ten mien cua to chuc bi chiem doat.


Theo danh gia cua cac chuyen gia, tan cong APT tai Viet Nam dang ngay cang gia tang ca ve so luong va muc do tinh vi. Thoi gian gan day, cac co quan, doanh nghiep hoat dong trong linh vuc an toan, an ninh mang tai Viet Nam da phat hien duoc nhieu chien dich tan cong manh me vao cac ngan hang, to chuc tai chinh cung nhu nhieu co quan khoi Chinh phu.


M.T


Loading...

CMC cảnh báo chiến dịch APT mới lợi dụng bộ gõ Unikey tấn công người dùng Việt Nam

Hệ thống giám sát và phòng thủ mã độc tập trung CMDD của Công ty CMC Cyber Security vừa phát hiện mẫu mã độc sử dụng kỹ thuật mới lợi dụng phần mềm gõ chữ tiếng Việt Unikey để tấn công người dùng Việt Nam.
Giới thiệu cho bạn bè
  • gplus
  • pinterest

Bình luận

Đăng bình luận

Đánh giá: