Nhiều doanh nghiệp Việt Nam tiếp tục bị nhóm tin tặc 1937cn tấn công

TheềudoanhnghiệpViệtNamtiếptụcbịnhómtintặccntấncôphilippineso các chuyên gia bảo mật, Rehashed RAT (Remote Access Trojan) là loại mã độc có thể dễ dàng qua mặt những tường lửa và phần mềm bảo mật bằng cách giả mạo những phần mềm hợp pháp như SC&Cfg.exe, GoogleUpdate.exe của McAfee AV.

Chiến dịch phát tán mã độc này được triển khai bởi nhóm hacker 1937cn. Điều này dựa vào liên kết tới nhóm đã được tìm thấy thông qua những tên miền độc hại được sử dụng làm máy chủ C&C. 1937cn là nhóm tin tặc Trung Quốc bị nghi tấn công hệ thống thông tin sân bay Tân Sơn Nhất và Nội Bài trong tháng 7.2016.

Theo ghi nhận củahack-cn.com- trang xếp hạng và thống kê hacker của Trung Quốc, 1937cn đã thực hiện trên 40.000 cuộc tấn công trong thời gian qua.

Trở lại với Rehashed RAT, mã độc này khai thác lỗ hổng CVE-2012-0158 nên các tập tin phát tán có dạng như tập tin văn bản. Để thu hút sự chú ý của các nạn nhân, tin tặc sử dụng tập tin văn bản giả mạo với tựa đề và nội dung chứa nhiều thông tin liên quan đến Chính phủ Việt Nam.

Quá trình phân tích Rehashed RAT cho thấy trình downloader của mã độc này sẽ tải về một RAT từ những domain:

dalat.dulichovietnam.net;