Chiến dịch do thám mạng nhắm vào Nhật có liên quan tới cuộc tấn công Đài Loan 2012

Các chuyên gia an ninh đã phát hiện ra một số họ mã độc tấn công một số doanh nghiệp của Nhật có những module tương tự như những cuộc tấn công trước kia hồi năm 2012 nhắm tới những trang mạng chính phủ Đài Loan .

 

PlugX và Elirks là hại họ mã độc trước kia có liên quan tới những cuộc do thám mạng liên quan tới Trung Quốc .

PlugX là RAT ( Remote Access Trojan ) thường thấy trong nhiều cuộc do thám mạng . Các chuyên gia cho biết loại “cửa sau” Elirks ít thấy hơn và họ đã phát hiện ra loại này từ năm 2010 , và chỉ trong những hoạt động nhắm tới những quốc gia Đông Á .

“Cửa sau” trên rất dễ phát hiện bởi vì nó dùng những nền tảng  Blog thông dụng để Host địa chỉ IP của máy chủ CnC thay vì những địa chỉ IP có sẵn trong mã nguồn . Trong những năm gần đây , tin tặc đứng sau Elirks đã dùng những dịch vụ Blog của Nhật Bản để Host địa chỉ IP máy chủ CnC .

Palo Alto Networks cho biết họ đã thấy Elirks trong những chiến dịch phát tán thư rác . Tin tặc đã gửi những Email có kèm theo những file PDF độc hại tới những đại diện của các doanh nghiệp Nhật Bản .

Khi người nhận mở file , thành phần độc hại có trong nội dung Flash nhúng trong file PDF , và khai thác những lỗ hổng an ninh CVE-2012-0611 để tải và cài đặt Flirks trên máy nạn nhân . Tin tặc sẽ dùng “cửa sau” này để đánh cắp thông tin từ máy tính bị lây nhiễm

Trước kia Elirks đã được dùng trong hoạt động do thám Scarlet Mimic APT chống lại những nhóm dân tộc thiểu số ở Trung Quốc , Palo Alto cho thấy những sự tương tự với những cuộc tấn công Phishing chống lại những công ty Nhật và cũng nhắm tới một bộ ở Đài Loan hồi năm 2012 .

Palo Alto cho biết hai cuộc tấn công đều dùng cùng một loại mã độc , tại ra những bức thư Phishing theo cùng một cách và nhắm tới những tổ chức hàng không .