Chiến dịch mạng mới của Iran nhắm vào tổ chức Trung Đông
Ngày 07/12/2017, hãng bảo mật FireEye (Mỹ) báo cáo phát hiện một chiến dịch gián điệp mới nhắm vào Trung Đông, sử dụng một lỗ hổng ngay sau khi lỗ hổng này được cấp bản vá chưa đầy một tuần. Sau khi quan sát những tin tặc này nhắm vào một tổ chức chính phủ ở Trung Đông, FireEye xác định các hoạt động này do một nhóm gián điệp mạng Iran có tên APT34 gây ra. Nhóm này đang sử dụng một backdoor tùy chỉnh để đạt được mục đích tấn công. FireEye cho biết: “Chúng tôi cho rằng APT34 tham gia vào một chiến dịch gián điệp dài hạn, với nỗ lực chủ yếu là trinh sát nhằm phục vụ cho lợi ích quốc gia của Iran, và đã hoạt động từ ít nhất năm 2014. Nhóm này đã nhắm mục tiêu nhiều ngành công nghiệp, bao gồm tài chính, chính phủ, năng lượng, hóa học, và viễn thông, và tập trung hoạt động ở Trung Đông. Chúng tôi xác định APT34 hoạt động cho Chính phủ Iran dựa trên các thông tin cơ sở hạ tầng có liên quan tới Iran, việc sử dụng cơ sở hạ tầng của Iran và nhắm mục tiêu phù hợp với các lợi ích của quốc gia này”. APT34 sử dụng kết hợp công cụ công khai và không công khai, thường xuyên thực hiện các chiến dịch phishing bằng các tài khoản bị xâm nhập và thỉnh thoảng dùng kỹ thuật xã hội. Trong chiến dịch mới nhất này, APT34 đã lợi dụng lỗ hổng mới CVE-2017-11882 của Microsoft Office, ảnh hưởng đến nhiều phiên bản của Microsoft Office, một khi bị khai thác sẽ cho phép một người dùng từ xa chạy mã tùy ý như người dùng hiện tại do các Object trong bộ nhớ không được xử lý đúng. Lỗ hổng này đã được Microsoft vá vào ngày 14/11/2017.

Nguồn: Info Security

Chia sẻ