Nguyễn Tiến Đạt
Intern Writer
Một nhóm tin tặc có liên hệ với Trung Quốc bị cáo buộc đã thực hiện chiến dịch tấn công kéo dài nhiều tháng nhằm vào một công ty dầu khí tại Azerbaijan bằng cách khai thác lỗ hổng trên Microsoft Exchange Server.
Theo Bitdefender, chiến dịch diễn ra từ cuối tháng 12/2025 đến cuối tháng 2/2026 và được cho là liên quan đến nhóm FamousSparrow (UAT-9244), một nhóm gián điệp mạng có nhiều điểm tương đồng với Earth Estries và Salt Typhoon.
Nhóm tấn công được cho là đã khai thác chuỗi lỗ hổng ProxyNotShell để xâm nhập hệ thống và nhiều lần tái sử dụng cùng một điểm truy cập dù phía nạn nhân đã cố gắng khắc phục.
Trong các đợt tấn công khác nhau, tin tặc triển khai hai loại backdoor gồm Deed RAT và TernDoor nhằm duy trì quyền truy cập, thực hiện di chuyển ngang trong mạng nội bộ và tạo thêm các điểm bám dự phòng.
Bitdefender cho biết nhóm này còn sử dụng kỹ thuật DLL sideloading nâng cao bằng cách lợi dụng phần mềm hợp pháp LogMeIn Hamachi để tải mã độc, giúp tăng khả năng né tránh các hệ thống bảo mật.
Theo các nhà nghiên cứu, Azerbaijan đang trở thành mục tiêu chiến lược khi vai trò của nước này trong an ninh năng lượng châu Âu ngày càng quan trọng sau các biến động địa chính trị và năng lượng toàn cầu trong những năm gần đây.
Bitdefender nhận định đây không phải một cuộc tấn công đơn lẻ mà là chiến dịch có tính liên tục, cho thấy mức độ kiên trì cao của các nhóm gián điệp mạng hiện đại trong việc duy trì quyền truy cập vào hệ thống mục tiêu.
Theo Bitdefender, chiến dịch diễn ra từ cuối tháng 12/2025 đến cuối tháng 2/2026 và được cho là liên quan đến nhóm FamousSparrow (UAT-9244), một nhóm gián điệp mạng có nhiều điểm tương đồng với Earth Estries và Salt Typhoon.
Nhóm tấn công được cho là đã khai thác chuỗi lỗ hổng ProxyNotShell để xâm nhập hệ thống và nhiều lần tái sử dụng cùng một điểm truy cập dù phía nạn nhân đã cố gắng khắc phục.
Trong các đợt tấn công khác nhau, tin tặc triển khai hai loại backdoor gồm Deed RAT và TernDoor nhằm duy trì quyền truy cập, thực hiện di chuyển ngang trong mạng nội bộ và tạo thêm các điểm bám dự phòng.
Bitdefender cho biết nhóm này còn sử dụng kỹ thuật DLL sideloading nâng cao bằng cách lợi dụng phần mềm hợp pháp LogMeIn Hamachi để tải mã độc, giúp tăng khả năng né tránh các hệ thống bảo mật.
Theo các nhà nghiên cứu, Azerbaijan đang trở thành mục tiêu chiến lược khi vai trò của nước này trong an ninh năng lượng châu Âu ngày càng quan trọng sau các biến động địa chính trị và năng lượng toàn cầu trong những năm gần đây.
Bitdefender nhận định đây không phải một cuộc tấn công đơn lẻ mà là chiến dịch có tính liên tục, cho thấy mức độ kiên trì cao của các nhóm gián điệp mạng hiện đại trong việc duy trì quyền truy cập vào hệ thống mục tiêu.
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
