Nhóm chuyên gia Kaspersky ICS CERT vừa phát hiện một chiến dịch tấn công mạng nhắm vào các tổ chức công nghiệp tại khu vực châu Á - Thái Bình Dương (APAC). Theo đó, kẻ xấu có thể phát tán mã độc trên hệ thống mạng của nạn nhân, cài đặt công cụ điều khiển từ xa, chiếm quyền kiểm soát thiết bị, đánh cắp và xóa thông tin mật.
Các doanh nghiệp sử dụng tiếng Trung Quốc đang bị nhắm đến bởi một chiến dịch tấn công mạng. (Ảnh minh họa)
Chiến dịch nhắm vào các cơ quan chính phủ và tổ chức công nghiệp nặng tại Đài Loan, Malaysia, Trung Quốc, Nhật Bản, Thái Lan, Hồng Kông, Hàn Quốc, Singapore, Philippines và Việt Nam. Tin tặc sử dụng tệp nén chứa mã độc, ngụy trang thành tài liệu liên quan đến thuế, phát tán thông qua chiến dịch lừa đảo trên email và các ứng dụng nhắn tin như WeChat và Telegram. Sau khi quy trình cài đặt mã độc nhiều lớp phức tạp được cài đặt trên hệ thống, tội phạm mạng sẽ cài cắm backdoor mang tên FatalRAT.
Chiến dịch này có một số điểm tương đồng với các cuộc tấn công trước đây sử dụng mã độc truy cập từ xa (RAT) mã nguồn mở như Gh0st RAT, SimayRAT, Zegost và FatalRAT. Dù vậy, các chuyên gia nhận thấy sự thay đổi đáng kể trong chiến thuật, kỹ thuật và phương thức hoạt động, tất cả đều được điều chỉnh để nhắm vào các tổ chức, cơ quan sử dụng tiếng Trung Quốc.
Đồng thời, mặc dù chưa thể xác định chính xác danh tính nhóm tin tặc đứng sau chiến dịch này. Song việc sử dụng nhất quán các dịch vụ và giao diện tiếng Trung cùng một số bằng chứng kỹ thuật khác, cho thấy khả năng khá rõ ràng đây là một nhóm tấn công sử dụng thành thạo tiếng Trung.
Kaspersky đặt tên cho chiến dịch này là SalmonSlalom, nhằm mô tả cách thức các tội phạm mạng khéo léo lẩn tránh các hệ thống phòng thủ mạng bằng những chiến thuật tinh vi và liên tục thay đổi phương thức. Nó có nghĩa tương tự như cá hồi vượt thác: Một hành trình đầy gian nan, đòi hỏi sức bền và sự khéo léo để vượt qua chướng ngại vật.
