Nhóm hacker 1937cn đến từ Trung Quốc tấn công có chủ đích vào hệ thống thông tin Đà Nẵng
Thông tin mới nhất từ diễn đàn WhiteHat.vn cho biết, các nhà nghiên cứu đã tìm thấy 1 file word giả mạo tài liệu của UBND quận Hải Châu - TP Đà Nẵng. Tài liệu này chứa các bản tóm tắt liên quan đến dự án của quận Hải Châu.
File văn bản có chứa mã độc được nhóm hacker sử dụng trong cuộc tấn công này
Hình thức tấn công sử dụng các file văn bản là một trong những hình thức tấn công có chủ đích (APT) phổ biến.
Hacker có thể sử dụng các kỹ thuật khác nhau để lừa nạn nhân tiếp cận với file word chứa mã độc và tiến hành mở nó ra. Khi đó nạn nhân sẽ vô tình đưa mã độc vào máy mình mà không biết. Trong trường hợp này Hacker đã tấn công sử dụng lỗ hổng CVE 2017-11882 lỗ hổng RTF trong các phần mềm Office .
Sau khi tiến hành debug và kiểm tra thì các nhà nghiên cứu phát hiện mã độc tạo ra thêm 2 file trên hệ thống: 1 file dll có tên là RasTls.dll
Lưu trữ tại: C:\\\IEUser\\AppData\\Roaming\\Microsoft\\Windows\\Network Shortcuts\\RasTls.dll Có Hash: 9f5da7524817736cd85d87dae93fdbe478385baac1c0aa3102b6ad50d7e5e368
1 file thực thi có tên là dascgosrky.exe
Lưu trữ tại: C:\\\IEUser\\AppData\\Roaming\\Microsoft\\Windows\\Network Shortcuts\\dascgosrky.exe Có Hash: f9ebf6aeb3f0fb0c29bd8f3d652476cd1fe8bd9a0c11cb15c43de33bbce0bf68
Danh sách các tên miền mà mã độc có kết nối đến là: dn.dulichbiendao.org; gateway.vietbaotinmoi.com; fis.malware-sinkhole.net; hn.dulichbiendao.org; halong.dulichculao.com; news.malware-sinkhole.net; cat.toonganuh.com; new.sggpnews.com; dulichculao.com; coco.sodexoa.com; thoitiet.malware-sinkhole.net; wouderfulu.impresstravel.ga; toonganuh.com; coco.sodexoa.com.
Đáng chú ý, nhóm Hacker đứng phía sau cuộc tấn công này là nhóm 1937cn đến từ Trung Quốc. Nhóm này cũng chính là tác giả của cuộc tấn công có chủ đích với quy mô lớn vào hệ thống thông tin tại các sân bay ở Viêt Nam vào năm 2016.
Hồi cuối tháng 7-2018, Trung tâm Ứng cứu khẩn cấp máy tính Việt Nam (VNCERT) đã ghi nhận các hình thức tấn công có chủ đích của tin tặc nhắm vào một số cơ quan nhà nước tại khu vực miền Trung và phát cảnh báo tới các cơ quan, đơn vị tăng cường các biện pháp đảm bảo an ninh mạng. Mục đích chính của tin tặc là đánh cắp các thông tin nhạy cảm của cơ quan Nhà nước.
