Nhóm tin tặc (hacker) từng bị nghi tấn công sân bay Nội Bài tiếp tục thực hiện các vụ tấn công có chủ đích nhằm vào cơ quan, doanh nghiệp trong nước.

Theo thông tin từ đại diện Công ty an ninh mạng CMC InfoSec, ngày 5.9 vừa qua, hãng bảo mật FortiGuard Labs đã phát hiện một số tài liệu chứa mã độc, với tên gọi là Rehashed RAT Remote Access Trojan), được sử dụng để khai thác lỗ hổng CVE-2012-0158.

Dựa trên những phân tích, dường như đây là một chiến dịch tấn công có chủ đích nhằm vào các tổ chức, cơ quan, doanh nghiệp Việt Nam. Các chuyên gia bảo mật tin rằng chiến dịch này được vận hành bởi nhóm hacker 1937CN của Trung Quốc. Liên kết tới nhóm đã được tìm thấy thông qua các tên miền độc hại được sử dụng làm máy chủ C&C. Nhóm hacker này bị nghi đã tấn công hệ thống thông tin của sân bay Nội Bài và Tân Sơn Nhất hồi tháng 7.2016.

Cũng giống như những chiến dịch tấn công APT khác, tin tặc phát tán các tài liệu chứa mã độc thông qua Email. Và để thu hút hơn sự chú ý của các nạn nhân, tin tặc  sử dụng các file văn bản với tựa đề và nội dung chứa nhiều thông tin liên quan đến chính phủ Việt Nam. Các file doc này chứa mã độc RAT, loại mã độc này có thể dễ dàng qua mặt các phần mềm bảo mật và firewall bằng cách giả mạo các phần mềm hợp pháp như: GoogleUpdate.exe, SC&Cfg.exe của McAfee AV.

Các chuyên gia bảo mật khuyến cáo người dùng không nên mở các tập tin khi nhận được từ điện thư không rõ nguồn gốc. Người dùng cũng cần cập nhật thường xuyên các bản vá bảo mật cho máy tính của mình và với trường hợp này là bản vá lỗ hổng CVE-2012-0158.

Tổng hợp