Nhóm hacker huyền thoại comeback với phần mềm gián điệp cực nguy hiểm

Ối giời ơi, nhóm hacker khét tiếng ngày nào giờ lại tái xuất rồi nè! Lần này các bạn ấy chơi lớn luôn, gửi email lừa đảo siêu tinh vi, giả mạo thư mời tham dự diễn đàn Primakov Readings. Nghe xong mà toát mồ hôi lạnh á!

Mới đây, team Nghiên cứu và Phân tích Toàn cầu của Kaspersky (GReAT) vừa bóc phốt được Memento Labs - công ty kế nhiệm của HackingTeam nổi danh một thời - đang có liên quan đến làn sóng tấn công gián điệp mạng mới cực kỳ nguy hiểm.

Cụ thể, vào tháng 3-2025, Kaspersky GReAT đã vạch trần ForumTroll - một chiến dịch gián điệp mạng level thần thánh, khai thác lỗ hổng zero-day CVE-2025-2783 trong Chrome. Tưởng tượng nha, nhóm đứng sau chiến dịch này đã gửi email lừa đảo (phishing) được cá nhân hóa siêu chi tiết, giả mạo thư mời tham dự diễn đàn Primakov Readings, nhắm thẳng vào các cơ quan truyền thông, tổ chức Chính phủ, giáo dục và tài chính tại Nga. Nghe mà thấy sợ luôn!

Trong lúc điều tra chiến dịch ForumTroll, các nhà nghiên cứu đã phát hiện ra phần mềm gián điệp LeetAgent (xuất hiện từ năm 2022). Phần mềm này xịn sò với các lệnh điều khiển được viết bằng "leetspeak" - một feature cực hiếm thấy trong phần mềm độc hại dạng APT (tấn công có chủ đích) đó nha!

36ab984005f276922947.jpg


Sau khi quan sát và phân tích kỹ càng, các chuyên gia xác định LeetAgent chính là công cụ khởi chạy phần mềm gián điệp tinh vi kia, hoặc cả hai cùng dùng chung một loader framework - hiểu nôm na là bộ khung nạp mà hacker dùng để tải, kích hoạt hoặc triển khai các thành phần mã độc khác vào hệ thống của nạn nhân. Nguy hiểm vãi chưởng!

Nhờ đó, các chuyên gia đã confirm được mối liên hệ giữa hai loại mã độc cũng như sự liên quan giữa các cuộc tấn công.

Phần mềm gián điệp còn lại thì lại càng khó chịu, che giấu mã độc bằng cách sử dụng các kỹ thuật chống phân tích siêu advanced, bao gồm cả công nghệ làm rối mã VMProtect. Nhưng mà team Kaspersky vẫn quá pro, vẫn trích xuất được tên của mã độc này từ mã nguồn - đó là Dante.

Plot twist nè: các nhà nghiên cứu xác định Dante chính là tên của một phần mềm gián điệp thương mại được phát triển và quảng bá bởi Memento Labs - công ty kế nhiệm và đổi tên thương hiệu từ HackingTeam huyền thoại ngày nào!

Thêm vào đó, các mẫu mới nhất của Remote Control System (RCS) - phần mềm gián điệp của HackingTeam mà Kaspersky thu thập được - cũng cho thấy sự tương đồng rõ rệt với Dante luôn.

Ông Boris Larin, Trưởng nhóm Nghiên cứu Bảo mật tại Kaspersky GReAT, cho biết sự tồn tại của các đơn vị cung cấp phần mềm gián điệp thương mại vẫn được biết đến rộng rãi trong ngành. Tuy nhiên, không dễ tí nào để nắm bắt được sản phẩm của các nhà cung cấp này, nhất là trong các cuộc tấn công có chủ đích.

"Để tìm ra nguồn gốc của Dante, chúng tôi phải bóc tách từng lớp mã độc đã được làm rối mã, lần theo một vài dấu vết hiếm hoi trong suốt hàng năm trời phát triển của phần mềm độc hại đó, liên kết đối chiếu để tìm ra nguồn gốc" - ông Boris Larin chia sẻ. Nghe mà thấy respect luôn á!

Nguồn: genk.vn
 
Back
Top