Công ty bảo mật Trung Quốc Qihoo 360 đã tiết lộ rằng một nhóm hacker bí ẩn đã theo dõi lưu lượng FTP và email trong mạng công ty của DrayTek ít nhất là từ đầu tháng 12 năm 2019. Trong báo cáo được công bố, công ty cho biết các nhà nghiên cứu của họ đã xác định được hai tác nhân đe dọa khác nhau khai thác lỗ hổng trong cổng VPN trên DrayTek Vigor.
Có hai nhóm riêng biệt, công ty báo cáo. Nhóm đầu tiên trong số hai nhóm hacker có vẻ phức tạp hơn. Theo Qihoo, nhóm năm ngoái 4 Vào tháng 12, radar xác định rằng nó đã thực hiện một cuộc tấn công rất tinh vi vào các thiết bị DrayTek. Qihoo, bộ định tuyến cùng nhóm tên người dùng và đăng nhập Họ cho biết họ đã khai thác lỗ hổng trong cơ chế đăng nhập được mã hóa RSA của các thiết bị DrayTek để ẩn mã độc trong miền của mình.
Các nhà nghiên cứu phát hiện ra rằng tin tặc đã sử dụng cổng 21 (FTP – truyền tệp), cổng 25 (SMTP – email), cổng 110 (POP3 – email) và cổng 143 (IMAP – email) qua ghi lại lưu lượng truy cập đến Anh ấy nói thêm rằng anh ấy đang sử dụng một kịch bản. Các nhà nghiên cứu của Qihoo cho biết họ không đoán được tại sao tin tặc lại thu thập lưu lượng truy cập FTP và email, nhưng trong các cuộc phỏng vấn, tình hình trở nên rõ ràng sau khi một nhà nghiên cứu bảo mật chỉ ra rằng nó trông giống như một hoạt động trinh sát cổ điển.
Ngoài ra, có thông tin từ một nguồn khác rằng chiến dịch tấn công của nhóm này đã không bị phát hiện và đang được các công ty an ninh mạng khác theo dõi. Tuy nhiên, nhóm này được cho là chưa chia sẻ bất kỳ cơ sở hạ tầng máy chủ hoặc mẫu phần mềm độc hại nào với bất kỳ nhóm hack nào đã biết khác; do đó, người ta chia sẻ rằng hiện tại có vẻ như đây là một nhóm mới.
Có một nhóm hacker khác
Các thiết bị DrayTek cũng bị lạm dụng bởi nhóm thứ hai mà Qihoo gọi là ‘Nhóm tấn công B’. nhóm này vào những ngày khác nhau xuất hiện nhưng hacker lại không tự mình phát hiện ra. Theo Qihoo, tin tặc đã thực hiện cuộc tấn công thứ hai này bằng cách khai thác một lỗi trong quy trình “rtick” để tạo tài khoản cửa sau trên một số bộ định tuyến nhất định. Những gì họ làm với những tài khoản này vẫn chưa được biết. Công ty tiếp tục tiến hành nghiên cứu về chủ đề này và công bố thông tin mới.
Nguồn: https://www.zdnet.com/article/a-mysterious-hacker-group-is-eavesdropping-on-corporate-ftp-and-email-traffic/
