Salt Typhoon, có liên hệ với Trung Quốc, không chỉ tấn công các công ty viễn thông tại Mỹ mà còn mở rộng ra toàn cầu
- Băng nhóm Salt Typhoon, có liên hệ với Trung Quốc, không chỉ tấn công các công ty viễn thông tại Mỹ mà còn mở rộng ra toàn cầu, tấn công hơn 20 tổ chức ở nhiều lĩnh vực từ công nghệ đến chính phủ và NGOs.
- Kể từ năm 2023, nhóm này đã tấn công các cơ quan ở nhiều quốc gia như Afghanistan, Brazil, Ấn Độ, Indonesia, Malaysia, Pakistan, Philippines, Nam Phi, Đài Loan, Thái Lan, và Việt Nam.
- Salt Typhoon, còn được gọi là Earth Estries, đã thực hiện các cuộc tấn công kéo dài nhằm vào các cơ quan chính phủ và nhà cung cấp dịch vụ internet từ năm 2020.
- Năm 2023, nhóm này chuyển hướng tấn công các công ty tư vấn và NGOs làm việc với chính phủ và quân đội Mỹ, gây thiệt hại nghiêm trọng cho cơ sở dữ liệu và máy chủ đám mây của các công ty viễn thông.
- Một trường hợp điển hình là việc nhóm này cài đặt rootkit Demodex lên máy của một nhà thầu lớn liên kết với nhà cung cấp viễn thông chiếm ưu thế trong khu vực.
- Mặc dù Trend Micro chưa thể xác nhận sự liên kết trực tiếp giữa nhóm Salt Typhoon và các cuộc tấn công gần đây vào Verizon, AT&T, và Lumen, nhưng họ nhận thấy các kỹ thuật, phương pháp tương tự đã được áp dụng.
- Nhóm tội phạm mạng sử dụng các lỗ hổng bảo mật như CVE-2023-46805 và CVE-2024-21887, cùng với các lỗi trong Microsoft Exchange Server để xâm nhập vào hệ thống.
- Ngoài ra, nhóm này cũng sử dụng kỹ thuật "living-off-the-land", nghĩa là lợi dụng các công cụ và thông tin xác thực hợp lệ để duy trì sự bí mật trong các hoạt động của mình.
- Các loại malware được phát hiện trong các chiến dịch này bao gồm SnappyBee, Demodex rootkit và GhostSpider – một backdoor mới cho phép tải các module khác nhau theo mục đích của kẻ tấn công.
- Trend Micro thừa nhận chưa có đủ bằng chứng để xác định GhostSpider và Demodex rootkit là backdoor độc quyền của Salt Typhoon.
📌 Salt Typhoon đã tấn công hàng triệu thiết bị viễn thông tại Mỹ và mở rộng ra hơn 20 quốc gia, trong đó có Việt Nam, với sự xuất hiện của malware GhostSpider. Nhóm này sử dụng nhiều lỗ hổng bảo mật để xâm nhập và thực hiện gián điệp mạng.
https://www.theregister.com/2024/11/27/salt_typhoons_us_telcos/
Thảo luận
Follow Us
Tin phổ biến
