Hoạt Động
THỐNG KÊ & CNTT
SỔ TAY KIỂM SÁT VIÊN
Cảnh báo an toàn thông tin Tuần 32/2024
Nguồn: https://khonggianmang.vn/
1. TIN TỨC AN TOÀN THÔNG TIN
- Chiến dịch tấn công APT: Nhóm APT Moonstone Sleet của Triều Tiên tiếp tục chiến dịch phát tán mã độc thông qua npm.
- Cảnh báo: Chiến dịch tấn công thông qua Windows Update có thể "gỡ bỏ" các bản vá hệ thống.
Chiến dịch tấn công APT: Nhóm APT Moonstone Sleet của Triều Tiên tiếp tục chiến dịch phát tán mã độc thông qua npm
Nhóm tấn công Moonstone Sleet, được Triều Tiên hậu thuẫn, mới đây đã phát tán các gói npm độc hại lên registry JavaScript với mục tiêu xâm nhập vào hệ thống Windows. Điều này cho thấy sự dai dẳng và liên tục của chiến dịch mà nhóm này đang triển khai.
Vào ngày 7/7/2024, hai gói tin độc hại có tên harthat-api và harthat-hash đã được phát hành lên registry npm. Tuy nhiên, cả hai gói này không thu hút bất kỳ lượt tải xuống nào và đã bị gỡ bỏ chỉ sau một thời gian ngắn. Đáng chú ý, mã độc trong các gói này đã tái sử dụng mã nguồn từ một repository GitHub nổi tiếng có tên node-config, vốn là một công cụ phổ biến trong cộng đồng lập trình.
Moonstone Sleet thường xuyên triển khai các chuỗi tấn công bằng cách phát tán các tệp ZIP giả mạo qua LinkedIn thông qua các tài khoản công ty giả hoặc trên các nền tảng freelancer, từ đó lừa người dùng thực thi mã độc bằng cách tải và chạy các gói npm giả mạo. Khi thực thi, gói npm độc hại sẽ sử dụng lệnh curl để kết nối với một máy chủ do kẻ tấn công kiểm soát, từ đó tải về các payload bổ sung như SplitLoader. Trong một cuộc tấn công khác, Moonstone Sleet đã sử dụng một loader npm độc hại để đánh cắp thông tin đăng nhập từ quy trình LSASS của Windows.
Các gói mã độc mới phát hiện của nhóm này được lập trình để thực hiện một script pre-install được chỉ định trong file package.json. Script này kiểm tra xem hệ thống có đang chạy Windows hay không (thông qua tham số "Windows_NT"). Nếu đúng, nó sẽ kết nối với máy chủ C&C để tải về một tệp DLL, sau đó sử dụng binary rundll32.exe để sideload tệp này vào hệ thống. Mặc dù tệp DLL này chưa thực hiện các hành vi độc hại ngay lập tức, điều này có thể là một thử nghiệm về cơ sở hạ tầng phát tán mã độc, hoặc có khả năng mã độc thực tế chưa được tích hợp vào tệp DLL trước khi nó bị phát hiện và gỡ bỏ.
Thông tin về hoạt động của Moonstone Sleet lần này xuất hiện trong bối cảnh Hàn Quốc đã cảnh báo về các chiến dịch tấn công khác từ các nhóm tin tặc Triều Tiên như Andariel và Kimsuky. Các nhóm này đã nhắm mục tiêu vào ngành xây dựng và máy móc của Hàn Quốc, phát tán các mã độc như Dora RAT và TrollAgent (còn gọi là Troll Stealer). Đáng chú ý, chuỗi tấn công của Dora RAT đã khai thác cơ chế cập nhật của phần mềm VPN nội địa để phát tán mã độc, gây ra nguy cơ lớn cho các hệ thống bị tấn công.
Tin liên quan
TIN MỚI NHẤT
KIẾN NGHỊ, KHÁNG NGHỊ VÀ HDNV
- Kiến nghị áp dụng biện pháp phòng ngừa (28-10-2021)
- Hướng dẫn áp dụng pháp luật trong giải quyết tội Tổ chức sử dụng trái phép chất ma túy và tội Chứa chấp việc sử dụng trái phép chất ma túy (20-10-2021)
- V/v hướng dẫn áp dụng pháp luật trong giải quyết các vụ án về tội xâm phạm sở hữu (06-10-2021)
- Hướng dẫn yêu cầu điều tra về tình tiết khuyết tật nặng hoặc đặc biệt nặng theo quy định tại điểm p khoản 1 Điều 51, điểm k, khoản 1, Điều 52 BLHS (24-09-2021)
- Giải đáp khó khăn vướng mắc trong công tác giải quyết vụ án hình sự trong thời gian thực hiện giản cách xã hội theo Chỉ thị 16 của Thủ tướng Chính phủ (24-09-2021)
THÔNG BÁO
- Thông báo tuyển dụng công chức năm 2024 (04-10-2024)
- Quyết định về việc công bố công khai quyết toán ngân sách năm 2023 của VKSND tỉnh Sóc Trăng (28-08-2024)
- Thông báo kết quả thi tuyển công chức nghiệp vụ Kiểm sát đợt 2 năm 2023 và hướng dẫn thủ tục phúc khảo (14-06-2024)
- Thông báo về việc triệu tập thí sinh đủ điều kiện thi vòng 2 kỳ thi tuyển công chức NVKS (đợt 2 năm 2023) (13-05-2024)
- Thông báo điểm thi vòng 1 kỳ thi tuyển công chức đợt 2 năm 203 của VKSND tỉnh Sóc Trăng (26-04-2024)