WhiteHat News #ID:2112
VIP Members
-
16/06/2015
-
83
-
672 bài viết
Triều Tiên bị tố đứng sau loạt tấn công an ninh mới
Nạn nhân của loạt tấn công này là phần mềm xử lý văn bản Hangul Word Processor vốn được sử dụng rộng rãi tại Hàn Quốc.
Hangul Word Processor (HWP) là ứng dụng "độc quyền" được sử dụng như là trình xử lý văn bản chính thức tại hệ thống chính phủ, cơ quan nhà nước tại Hàn Quốc.
Hãng an ninh FireEye cho biết lỗ hổng trên Hangul Word Processor được đặt tên là CVE-2015-6585 và cũng đã được chính hãng phát triển ứng dụng này là Hancom triển khai bản vá cách đây 3 ngày.
Mặc dù không đưa ra bất kỳ kết luận đích danh nào, song các chuyên gia tại hãng an ninh Mỹ cho rằng một khi ứng dụng nói trên kết hợp được với các mục tiêu khác tại Hàn Quốc sẽ dẫn đến tình trạng chúng có thể hiệp đồng với nhau để triển khai các hành động nhiều khả năng dính dáng đến các mối đe dọa an ninh mạng có nguồn gốc từ Triều Tiên.
Cụ thể, nếu một tập tin HWP độc hại nào đó được mở ra thì tập tin ấy sẽ cài đặt một cửa hậu (backdoor) mà FireEye đặt tên là "Hangman".
Hangman được hacker khai thác nhằm tải về trái phép các tập tin cũng như theo dõi, thăm dò các hệ thống tập tin.
Sau khi đã thu thập dữ liệu trên máy tính của người dùng, mã độc Hangman sẽ gửi tất cả về các máy chủ điều khiển từ xa thông qua một kết nối an toàn SSL (Secure Sockets Layer).
Địa chỉ IP của các máy chủ nói trên đã được "code cứng" vào Hangman và theo đánh giá thì chúng có liên kết đến các cuộc tấn công mạng được cho rằng do Triều Tiên thực hiện.
Ngoài ra, Hangman cũng được đánh giá là giống một mã độc dạng mở cửa hậu khác mà FireEye gọi tên là Peachpit, và nhiều khả năng cũng do Triều Tiên phát triển, trang PC World Mỹ cho biết.
Hangul Word Processor (HWP) là ứng dụng "độc quyền" được sử dụng như là trình xử lý văn bản chính thức tại hệ thống chính phủ, cơ quan nhà nước tại Hàn Quốc.
Hãng an ninh FireEye cho biết lỗ hổng trên Hangul Word Processor được đặt tên là CVE-2015-6585 và cũng đã được chính hãng phát triển ứng dụng này là Hancom triển khai bản vá cách đây 3 ngày.
Mặc dù không đưa ra bất kỳ kết luận đích danh nào, song các chuyên gia tại hãng an ninh Mỹ cho rằng một khi ứng dụng nói trên kết hợp được với các mục tiêu khác tại Hàn Quốc sẽ dẫn đến tình trạng chúng có thể hiệp đồng với nhau để triển khai các hành động nhiều khả năng dính dáng đến các mối đe dọa an ninh mạng có nguồn gốc từ Triều Tiên.
Cụ thể, nếu một tập tin HWP độc hại nào đó được mở ra thì tập tin ấy sẽ cài đặt một cửa hậu (backdoor) mà FireEye đặt tên là "Hangman".
Hangman được hacker khai thác nhằm tải về trái phép các tập tin cũng như theo dõi, thăm dò các hệ thống tập tin.
Sau khi đã thu thập dữ liệu trên máy tính của người dùng, mã độc Hangman sẽ gửi tất cả về các máy chủ điều khiển từ xa thông qua một kết nối an toàn SSL (Secure Sockets Layer).
Địa chỉ IP của các máy chủ nói trên đã được "code cứng" vào Hangman và theo đánh giá thì chúng có liên kết đến các cuộc tấn công mạng được cho rằng do Triều Tiên thực hiện.
Ngoài ra, Hangman cũng được đánh giá là giống một mã độc dạng mở cửa hậu khác mà FireEye gọi tên là Peachpit, và nhiều khả năng cũng do Triều Tiên phát triển, trang PC World Mỹ cho biết.
Theo PC World VN