Nhóm gián điệp mạng GOBLIN PANDA lại tấn công Việt Nam

Các nhà nghiên cứu bảo mật của CrowdStrike (Mỹ) vừa phát hiện một hoạt động mới liên quan đến GOBLIN PANDA, nhóm tin tặc chuyên tấn công các cơ quan tại Đông Nam Á. 

GOBLIN PANDA lần đầu tiên bị phát hiện vào năm 2013 và hoạt động rất tích cực trong năm 2014, cùng thời điểm xung đột lãnh thổ tại Biển Đông đang dâng cao, hoạt động của nhóm được cho là chỉ tập trung vào Việt Nam.

GOBLIN PANDA còn có tên Cycldek, chủ yếu nhắm vào các tổ chức hoạt động trong các lĩnh vực quốc phòng, năng lượng và chính phủ.

Vào tháng 07/2018, nhóm này bị phát hiện nhắm mục tiêu Việt Nam một lần nữa, triển khai chiến dịch phát tán các tài liệu mồi nhử có các chủ đề và đề tài bằng tiếng Việt. Cơ sở hạ tầng sử dụng vào cuộc tấn công cũng được lên kế hoạch để nhắm vào Việt Nam.
Các nhà nghiên cứu bảo mật phát hiện 02 tài liệu mồi nhử có các tên tập tin bằng tiếng Việt chứa dữ liệu đặc tả độc quyền của GOBLIN PANDA. Khi được mở, các tập tin hiển thị các tài liệu Microsoft Office Word với các chủ đề liên quan đến đào tạo.

“Các tài liệu này không đề cập cụ thể đến các dự án hoặc phòng ban của Chính phủ Việt Nam, tuy nhiên chúng vẫn có thể được chuyển tới nhân viên Chính phủ Việt Nam”, CrowdStrike nói.

Các tài liệu này khai thác một lỗ hổng Office cũ, cụ thể là CVE-2012-0158. Mã khai thác sẽ tải về mã độc có tên QCRat vào máy bị xâm nhập.

CrowdStrike phát hiện các tài liệu sử dụng một “mã thực thi hợp pháp từng bị phát hiện trước kia, và một mã độc dạng side-loading DLL, cũng như các tập tin cấu hình mã độc mới được lưu trữ dưới dạng tập tin .tlb.”

Trong khi phân tích cơ sở hạ tầng C&C (ra lệnh và kiểm soát) liên quan đến chiến dịch, các nhà nghiên cứu đã phát hiện ra dấu hiệu cho thấy nhóm tin tặc này có khả năng cũng nhắm vào các cơ quan ở Lào. Tuy nhiên, CrowdStrike chưa phát hiện mục tiêu nào ở Lào trong chiến dịch này, mặc dù GOBLIN PANDA đã nhắm mục tiêu đất nước này trước đây.

“Xét theo các sáng kiến ​​kinh tế lớn của Trung Quốc, như Sáng kiến Vành đai và Con đường và những tranh chấp triền miên trên quần đảo Hoàng Sa, dường như GOBLIN PANDA sẽ không từ bỏ nỗ lực thu thập thông tin tình báo đối với các doanh nghiệp và nước láng giềng Đông Nam Á hoạt động trong khu vực này”, CrowdStrike kết luận.

Theo Trandaiquang.org