ĐÀI BẮC, ĐÀI LOAN – Media OutReach – Trong báo cáo mới nhất của Kaspersky về xu hướng Các mối đe dọa dai dẳng nâng cao (Advanced Persistent Threats – APT) trong quý 2 năm 2023, các nhà nghiên cứu phân tích sự phát triển của các chiến dịch mới và hiện có. Báo cáo nêu bật hoạt động của APT trong giai đoạn này, bao gồm việc cập nhật bộ công cụ, tạo ra các biến thể phần mềm độc hại mới và áp dụng các kỹ thuật mới của các tác nhân đe dọa.

Một tiết lộ mới quan trọng là việc nói về chiến dịch “Operation Triangulation” kéo dài liên quan đến việc sử dụng nền tảng phần mềm độc hại iOS chưa biết trước đây. Các chuyên gia cũng quan sát thấy những phát triển thú vị khác mà họ tin rằng, mọi người nên biết. Dưới đây là những điểm nổi bật chính từ báo cáo

Châu Á-Thái Bình Dương chứng kiến ​​một tác nhân đe dọa mới – Con voi bí ẩn

Kaspersky đã phát hiện ra một tác nhân đe dọa mới thuộc họ Voi (Elephant), hoạt động ở khu vực châu Á – Thái Bình Dương, được mệnh danh là “Voi bí ẩn”. Trong chiến dịch mới nhất của họ, kẻ đe dọa đã sử dụng các họ cửa hậu mới, có khả năng thực thi các tệp và lệnh trên máy tính của nạn nhân, đồng thời nhận các tệp hoặc lệnh từ một máy chủ độc hại để thực thi trên hệ thống bị nhiễm. Mặc dù các nhà nghiên cứu của Kaspersky đã quan sát thấy sự trùng lặp với Khổng Tử và SideWinder, nhưng Voi bí ẩn sở hữu một bộ TTP đặc biệt và duy nhất, khiến chúng khác biệt với các nhóm khác này.

Bộ công cụ được nâng cấp: Lazarus phát triển biến thể phần mềm độc hại mới, BlueNoroff tấn công macOS…

Các tác nhân đe dọa không ngừng cải tiến kỹ thuật của chúng, với việc Lazarus nâng cấp khung MATA và giới thiệu MATAv5 – một biến thể mới của họ phần mềm độc hại tinh vi MATA. BlueNoroff – một nhóm con tập trung vào tấn công tài chính của Lazarus, hiện sử dụng các phương pháp phân phối và ngôn ngữ lập trình mới, bao gồm việc sử dụng trình đọc PDF bị nhiễm Trojan trong các chiến dịch gần đây, triển khai phần mềm độc hại macOS và ngôn ngữ lập trình Rust.

Ngoài ra, nhóm ScarCruft APT đã phát triển các phương thức lây nhiễm mới, trốn tránh cơ chế bảo mật Mark-of-the-Web (MOTW). Các chiến thuật không ngừng phát triển của những tác nhân đe dọa này đặt ra những thách thức mới cho các chuyên gia an ninh mạng.

Ảnh hưởng địa chính trị vẫn là động lực chính của hoạt động APT

Các chiến dịch APT vẫn phân tán về mặt địa lý, với các bên tập trung tấn công vào các khu vực như châu Âu, châu Mỹ Latinh, Trung Đông và nhiều khu vực khác nhau của châu Á. Hoạt động gián điệp mạng, với bối cảnh địa chính trị vững chắc, tiếp tục là chương trình nghị sự chi phối cho những nỗ lực này.

Ông Adrian Hia, Giám đốc điều hành khu vực châu Á – Thái Bình Dương của Kaspersky cho biết: “Kaspersky đã theo dõi tất cả các tác nhân APT đang hoạt động trong khu vực lây nhiễm các thiết bị di động và đang dần nhắm mục tiêu vào các doanh nghiệp và cơ sở hạ tầng. Các nhà nghiên cứu của chúng tôi tập trung vào các hoạt động APT để phát hiện ra các cuộc tấn công mạng tinh vi nhất. Bằng cách công bố những phát hiện từ cuộc điều tra của mình, chúng tôi hy vọng có thể giúp các tổ chức nhận thức được các hoạt động mới nhất và giữ an toàn trong nỗ lực xây dựng một thế giới an toàn hơn”.

Ông David Emm, nhà nghiên cứu bảo mật chính tại Nhóm Nghiên cứu và Phân tích Toàn cầu (Global Research and Analysis Team – GReAT) của Kaspersky nhận xét: “Trong khi một số tác nhân đe dọa sử dụng các chiến thuật quen thuộc như kỹ thuật xã hội, thì những tác nhân khác đã phát triển, làm mới bộ công cụ và mở rộng hoạt động của chúng. Hơn nữa, những tác nhân tiên tiến mới, chẳng hạn như những kẻ thực hiện chiến dịch “Operation Triangulation“, liên tục xuất hiện. Tác nhân này sử dụng một chiến thuật chưa từng được biết đến trước đây. Nền tảng phần mềm độc hại iOS được phân phối thông qua việc khai thác iMessage mà không cần nhấp chuột”.

Ông David Emm cảnh báo: “Cần luôn thận trọng với thông tin về mối đe dọa và các công cụ phòng thủ phù hợp là rất quan trọng đối với các công ty toàn cầu, để họ có thể tự bảo vệ mình trước các mối đe dọa hiện hữu và mới nổi. Các đánh giá hàng quý của chúng tôi được thiết kế để làm nổi bật những phát triển quan trọng nhất giữa các nhóm APT để giúp những người bảo vệ có thể chống lại và giảm thiểu rủi ro liên quan”.

Để đọc báo cáo xu hướng APT quý 2 năm 2023 đầy đủ, hãy truy cập Securelist (Danh sách bảo mật). Để tránh trở thành nạn nhân của một cuộc tấn công có chủ đích của một tác nhân đe dọa đã biết hoặc chưa biết, các nhà nghiên cứu của Kaspersky khuyến nghị thực hiện các biện pháp sau:

– Để đảm bảo tính bảo mật cho hệ thống của bạn, điều quan trọng là phải cập nhật kịp thời hệ điều hành của bạn và phần mềm bên thứ ba khác lên các phiên bản mới nhất của chúng. Duy trì lịch cập nhật thường xuyên là điều cần thiết để luôn được bảo vệ khỏi các lỗ hổng tiềm ẩn và rủi ro bảo mật

– Nâng cao kỹ năng cho nhóm an ninh mạng của bạn để giải quyết các mối đe dọa được nhắm mục tiêu mới nhất, với đào tạo trực tuyến của Kaspersky do các chuyên gia GReAT phát triển.

– Sử dụng thông tin Tnh báo về mối đe dọa mới nhất để luôn cập nhật các TTP thực tế mà các tác nhân đe dọa sử dụng.

– Để phát hiện, điều tra và khắc phục kịp thời các sự cố ở cấp điểm cuối, hãy triển khai các giải pháp Phát hiện và phản hồi điểm cuối (Endpoint Detection and Response – EDR) như Kaspersky EDR.

– Các dịch vụ chuyên dụng có thể giúp chống lại các cuộc tấn công cao cấp. Dịch vụ Phát hiện và phản hồi được quản lý của Kaspersky (Kaspersky Endpoint Detection and Response) có thể giúp xác định và ngăn chặn các hoạt động xâm nhập trong giai đoạn đầu, trước khi thủ phạm đạt được mục tiêu của chúng. Nếu bạn gặp sự cố, dịch vụ Ứng phó sự cố của Kaspersky (Kaspersky Incident Response) sẽ giúp bạn ứng phó và giảm thiểu hậu quả, cụ thể là xác định các nút bị xâm phạm và bảo vệ cơ sở hạ tầng khỏi các cuộc tấn công tương tự trong tương lai.

Hashtag: #Kaspersky

Nguồn phát hành hoàn toàn chịu trách nhiệm về nội dung thông báo này.

Thông tin về Kaspersky

Kaspersky là công ty bảo mật kỹ thuật số và an ninh mạng toàn cầu được thành lập vào năm 1997. Chuyên môn sâu về bảo mật và thông tin về mối đe dọa của Kaspersky không ngừng chuyển đổi thành các giải pháp và dịch vụ sáng tạo để bảo vệ doanh nghiệp, cơ sở hạ tầng quan trọng, chính phủ và người tiêu dùng trên toàn cầu. Danh mục bảo mật toàn diện của công ty bao gồm bảo vệ điểm cuối hàng đầu, các sản phẩm và dịch vụ bảo mật chuyên dụng, cũng như các giải pháp Miễn dịch điện tử để chống lại các mối đe dọa kỹ thuật số tinh vi và đang phát triển. Hơn 400 triệu người dùng được bảo vệ bởi các công nghệ của Kaspersky và công ty giúp hơn 220.000 khách hàng doanh nghiệp bảo vệ những gì quan trọng nhất đối với họ. Có thể tìm hiểu thêm về Kaspersky tại www.kaspersky.com.