Một băng nhóm tội phạm mạng có liên quan đến mối đe dọa dai dẳng nâng cao (APT) đã được phát hiện có liên quan đến một chiến dịch mới đang phát tán phần mềm độc hại Android thông qua Cổng thông tin điện tử của Chính phủ Syria, cho thấy kẻ tấn công đã mở rộng kho công cụ của mình để thâm nhập các mục tiêu, theo cho Tin tức Hacker .
Người ta nghi ngờ rằng StrongPity, còn được gọi là Promethium của Microsoft , được cho là hoạt động từ năm 2012, thường tập trung vào các mục tiêu ở Syria và Thổ Nhĩ Kỳ. Vào giữa những năm 2020, tác nhân đe dọa có liên quan đến một làn sóng hoạt động dựa trên các cuộc tấn công vòng lặp và thao túng trình cài đặt để lây nhiễm phần mềm độc hại cho các mục tiêu và lạm dụng sự phổ biến của các chương trình chính hãng.
Quá trình cuối cùng không có gì khác biệt, vì phần mềm lành tính đã được đóng gói lại thành các biến thể Trojanized để hỗ trợ các cuộc tấn công. Phần mềm độc hại được cho là đã được tạo ra vào tháng 5 năm 2021, khi ứng dụng này được ngụy trang thành ứng dụng Android e-Gov của Syria, với tệp kê khai AndroidManifest.xml được sửa đổi để yêu cầu rõ ràng các quyền bổ sung của điện thoại, bao gồm khả năng đọc thông tin liên hệ, quyền truy cập. thông tin di động và WiFi, ghi vào bộ nhớ ngoài và giữ cho thiết bị luôn mở.
Mặc dù một số chiến dịch của tin tặc bị bại lộ, chúng vẫn tiếp tục hoạt động hack
Ứng dụng độc hại được thiết kế để thực hiện các tác vụ tẻ nhạt trong nền, kích hoạt yêu cầu tới máy chủ điều khiển từ xa (C2). Đổi lại, máy chủ phản hồi bằng các trọng tải được mã hóa chứa tệp cấu hình cho phép chương trình độc hại thay đổi hành vi cấu hình và cập nhật địa chỉ máy chủ C2 của nó. Cuối cùng, mô-đun cấy ghép rất có thể theo dõi dữ liệu có trên thiết bị bị nhiễm bệnh, chẳng hạn như danh bạ, ảnh, tệp PDF, khóa bảo mật, tài liệu Excel và Word và các tệp, tất cả đều được chuyển sang máy chủ C2, để đặt tên. một số ít.
Mặc dù không có báo cáo công khai nào về việc StrongPity tấn công bằng các ứng dụng Android độc hại, nhưng ghi nhận của Trend Micro bắt nguồn từ thực tế là họ đang sử dụng máy chủ C2 đã được ghi lại cụ thể bởi Alien Labs của AT&T vào tháng 7 năm 2019 và đã khai thác các phiên bản bị ô nhiễm của bộ định tuyến của WinBox Phần mềm quản lý.
Theo tiết lộ của Cisco Talos từ năm ngoái về khả năng phục hồi của Promethium trong thời gian, các nhà nghiên cứu cho biết các chiến dịch của nó đã bị lộ một vài lần, nhưng điều đó là không đủ đối với tội phạm mạng đã triển khai phần mềm độc hại này. Quyết tâm thực hiện mục đích của nhóm nằm ở chỗ, nhóm không ngại đưa ra các sáng kiến mới ngay cả khi nó bị lộ ra ngoài.
Nguồn: https://news.softpedia.com/
