support.is@cmclab.net (04) 3795 8282 - 1900 571 244
RDoS ATTACKS BY FAKE FANCY BEAR
.05 Th12

RDoS ATTACKS BY FAKE FANCY BEAR

Vừa qua, trên Threat Intelligence có thu lượm được một vài thông tin về các chiến dịch tấn công từ chối dịch vụ RDoS (ransom denial-of-service), kẻ tấn công yêu cầu đòi tiền chuộc đối với các nạn nhân để không bị tấn công.

Những kẻ tấn công đó đã tống tiền dọa nạt thông qua việc gửi các email đe dọa các nạn nhân. Hầu hết kẻ tấn công lấy danh nghĩa của nhóm  Fancy Bear để lấy danh tiếng nhóm này đe dọa khiến những nạn nhân cảm thấy sợ hại. Những kẻ tấn công đóng giả là Fancy Bear khét tiếng đe dọa sẽ khởi động cuộc tấn công DDoS nếu tiền chuộc không được trả. Trong một số trường hợp, những kẻ tấn công đã thực hiện các cuộc tấn công DDoS nhỏ để chứng minh khả năng của chúng và xác nhận mối đe dọa. Các cuộc tấn công cũng được xác nhận bởi các nhà nghiên cứu bảo mật khác.

Cũng đợt đó CMC Cyber Security nhận được yêu cầu support từ một tổ chức khi họ nhận được email đe dọa giống như vậy

 

Một số tổ chức khi nhận được email đe dọa này cũng đã bị một cuộc tấn công DDoS demo vào các server của họ.

Vector attack (floods) sử dụng các giao thức UDPICMP , đặc biệt kẻ tấn công đã sử dụng UDP/3283, đây là một attack vector mới được phát hiện vào 06/2019.

Port UDP/3283 được sử dụng bởi giao thức Apple Remote Desktop Application (ARD) và service ARMS.

Fancy Bear hay còn gọi là APT28 (Sednit group, Sofacy, Pawn Storm, Strontium, Tsar Team, TG-4127, Group-4127, TAG_0700, Swallowtail, Iron Twilight, Group 74) hoạt động từ 2004,  Fancy Bear là một tổ chức hacker chuyên tấn công các tổ chức lớn, chính phủ các nước bằng các chiến dịch APT.

Có thể khẳng định là nhóm Fancy Bear không liên quan gì đến các chiến dịch RDoS (ransom denial-of-service), mục tiêu của họ đa phần là phá hoạt và làm gián điệp, trong khi mục tiêu của những kẻ trên là tiền một thứ mà nhóm Fancy Bear được tài trợ, chỉ là một chút đe dọa sử dụng social engineering.

Các source ip được sử dụng dụng bởi kẻ tấn công sử dụng random cho UDP Flood trong cuộc tấn công RDoS

CMC Cyber Security sẽ chỉ public 1 phần, nếu bạn muốn cần nhiều hơn hãy contact chi tiết.

Phương thức để giảm thiểu ngăn chặn những cuộc tấn công DDOS kiểu này có nhiều và cũng không quá khó để thực hiện. Chúng tôi sẽ tiếp tục apdate các thông tin chi tiết cụ thể trong thời gian sớm nhất.

Viết một bài

viVietnamese
en_USEnglish viVietnamese