Nhóm tin tặc Goblin Panda tiếp tục nhắm tới Việt Nam

Các nhà nghiên cứu đã quan sát thấy một số hoạt động liên quan tới nhóm tin tặc GOBLIN PANDA nhắm tới các cơ quan tổ chức tại Việt Nam.

securitydaily Nhóm tin tặc Goblin Panda tiếp tục nhắm tới Việt Nam

Lần đầu xuất hiện vào năm 2013 và tích cực hoạt động trong năm 2014, khi cuộc xung đột trên lãnh thổ ở biển Đông trở nên căng thẳng, nhóm tin tặc Goblin Panda đã tập trung tấn công Việt Nam. Còn có tên gọi khác là Cycldek, nhóm tin tặc này đã chủ yếu nhắm mục tiêu các tổ chức, cá nhân trong các lĩnh vực quốc phòng, năng lượng, và chính phủ.

Vào tháng trước, nhiều phát hiện cho thấy nhóm tin tặc Goblin Panda lại nhắm mục tiêu vào Việt Nam, sử dụng chiến dịch khai thác tài liệu và có các bẫy tin và chủ đề (theme) viết bằng tiếng Việt.

Các nhà nghiên cứu bảo mật quan sát thấy hai vụ khai thác tài liệu với tên tập tin là tiếng Việt có chứa siêu dữ liệu đặc trưng của nhóm Goblin Panda. Khi mở, các tập tin sẽ hiển thị tài liệu Microsoft Office Word với các chủ đề liên quan đến đào tạo để làm bẫy tin.

“Các tài liệu không dẫn tham khảo tới các dự án của chính phủ Việt Nam hoặc các phòng ban chính phủ, nhưng những tập tin đó vẫn có thể được dẫn tới nhân viên của chính phủ Việt Nam.” – CrowdStrike cho biết.

Các tài liệu này cố gắng khai thác lỗ hổng Office cũ, cụ thể là CVE-2012-0158. Mã khai thác sẽ thả phần mềm độc hại được theo dõi dưới dạng QCRat vào thiết bị bị xâm nhập.

Tài liệu mà Goblin Panda sử dụng là “tệp thực thi đã từng hợp pháp, thư viện liên kết động (DLL), cũng như các tệp cấu hình mới được lưu trữ dưới dạng .tlb.”

Trong khi phân tích các lệnh và kiểm soát cơ sở hạ tầng trong chiến dịch tấn công này, các nhà nghiên cứu bảo mật đã phát hiện ra rằng nhóm tin tặc Goblin Panda có thể cũng đang nhắm mục tiêu tới các tổ chức ở Lào. Tuy nhiên, chưa phát hiện cuộc tấn công nào ở Lào.

“Vì chính các sáng kiến kinh tế của Trung Quốc, chẳng hạn như Sáng kiến “Vành đai và con đường” và việc tranh chấp ở quần đảo Hoàng Sa, do đó nhóm tin tặc Goblin Panda sẽ không bỏ qua cơ hội thu thập thông tin tình báo ở các nước và doanh nghiệp trong khu vực Đông Nam Á.”

SecurityWeek

> Giải pháp bảo mật toàn diện dành cho website, đăng ký miễn phí 14-ngày tại đây <