Nhóm APT 'Earth Estries' dùng mã độc tấn công ngành viễn thông tại nhiều quốc gia
Theo Cục An toàn thông tin, nhóm Earth Estries đang sử dụng mã độc backdoor mới có tên 'GHOSTSPIDER' tấn công doanh nghiệp viễn thông.
Trước đó, Cục An toàn thông tin đã có văn bản gửi các cơ quan, doanh nghiệp, tổ chức tài chính, cảnh báo chiến dịch tấn công có chủ đích của nhóm APT Earth Estries.
Nhóm Earth Estries tấn công bằng cách khai thác lỗ hổng trên hệ thống, như Microsoft Exchange và công cụ quản lý adapter mạng…
Ngoài tấn công các công ty điện tử, viễn thông, nhóm này còn sử dụng mã độc backdoor đa nền tảng MASOL RAT (Backdr-NQ) lên các hệ thống Linux, thuộc hệ thống mạng của chính phủ tại các quốc gia.
Earth Estries đã thành công xâm nhập vào hơn 20 tổ chức lĩnh vực điện tử, viễn thông, công nghệ, tư vấn, hóa học, vận chuyển và các đơn vị thuộc chính phủ...
Hiện danh sách 13 quốc gia và vùng lãnh thổ bị ảnh hưởng được ghi nhận cụ thể như sau: Afghanistan, Brazil, Eswatini, Ấn Độ, Indonesia, Malaysia, Pakistan, Philippines, Nam Phi, Đài Loan (Trung Quốc), Thái Lan, Mỹ và Việt Nam.
Nhóm tấn công Earth Estries hoạt động từ năm 2020, với các tên khác như FamousSparrow, GhostEmperor, Salt Typhoon và UNC2286.
Một số công cụ đáng chú ý được nhóm sử dụng là rootkit Demodex và mã độc Deed RAT (SNAPPYBEE), là phiên bản mã độc cải tiến của ShadowPad.
Ngoài ra, nhóm Earth Estries còn sử dụng các mã độc backdoor, đánh cắp thông tin, như Crowdoor, SparrowDoor, HemiGate, TrillClient và Zingdoor.
Việc xâm nhập đầu vào của nhóm được thực hiện thông qua khai thác các lỗ hổng an toàn thông tin tồn tại trên Ivanti Connect Secure (CVE-2023-46805 và CVE-2024-21887), Fortinet FortiClient EMS (CVE-2023-48788), Sophos Firewall (CVE-2022-3236), Microsoft Exchange Server (CVE-2021-26855, CVE-2021-26857, CVE-2021-26858, và CVE-2021-27065 hay ProxyLogon).
Sau đó, nhóm tin tặc sẽ triển khai các mã độc như Deed RAT, Demodex và GHOSTSPIDER với mục đích gián điệp không gian mạng dài hạn.
Các chuyên gia bảo mật cũng cho hay, Earth Estries thực hiện các chiến dịch tấn công một cách kín đáo, bắt đầu từ các thiết bị nằm ở viền của không gian mạng và phát tán tới môi trường đám mây (cloud), khiến việc phát hiện trở nên khó khăn.
Nhóm đối tượng còn sử dụng kết hợp nhiều biện pháp thiết lập mạng vận hành có vai trò che giấu dấu vết hoạt động của nhóm, qua đó cho thấy cách tiếp cận, xâm nhập tinh vi.
Vì vậy, Cục An toàn thông tin khuyến cáo, các đơn vị thường xuyên cập nhật thông tin (như các chiến dịch tấn công của các nhóm APT, thông tin IoC kèm theo từng chiến dịch, điểm yếu lỗ hổng đang bị lợi dụng để khai thác,…), rà soát trên hệ thống thống thông tin để phát hiện và ngăn chặn, xử lý kịp thời.
Các cơ quan, đơn vị cần lưu ý theo dõi và cập nhật bản vá cho các lỗ hổng liên quan đến sản phẩm đang sử dụng. Ngoài ra, các đơn vị chủ động cập nhật thông tin về các rủi ro an toàn thông tin mạng tại địa chỉ https://alert.khonggianmang.vn...