Các hoạt động tấn công của nhóm Moshen Dragon được phát hiện bởi công ty SentinelOne. Công ty cho biết có một số đặc điểm tương đồng trong hoạt động tấn công do các nhóm RedFoxtrot và Nomad Panda thực hiện.
Nhóm tin tặc bắt đầu chiến dịch trong tháng 5, nhắm mục tiêu vào nhiều thực thể ở Trung Á bằng cách khai thác các sản phẩm chống virus để tải DLL độc hại và lây nhiễm mã độc.
SentinelOne cho biết: “Moshen Dragon lạm dụng các phần mềm diệt virus để thực hiện tấn công DLL hijacking. Tiếp đến, hacker sẽ sử dụng DLL này để giải mã, tải mã độc và lưu trữ nó trong một tệp khác trong cùng thư mục.“
Các phần mềm diệt virus bị nhóm hacker nhắm mục tiêu bao gồm Symantec, Trend Micro, Bitdefender, McAfee và Kaspersky. Tuy nhiên, các bằng chứng cho thấy chỉ có các lỗ hổng trong Trend Micro bị hacker khai thác.
Trong bản tin an ninh, Trend Micro xác nhận phiên bản Trend Micro Security dành cho người tiêu dùng bị ảnh hưởng và phát hành bản vá vào ngày 19 tháng 5 thông qua hệ thống ActiveUpdate.
Công ty không tìm thấy bằng chứng nào cho thấy các sản phẩm trả phí hoặc dành cho doanh nghiệp bị ảnh hưởng bởi lỗ hổng do Moshen Dragon khai thác.
Lỗ hổng DLL hijacking tồn tại trong hệ điều hành Windows có thể cho phép hacker thực thi mã với đặc quyền quản trị. Năm ngoái, SafeBreach phát hiện nhiều lỗ hổng ảnh hưởng đến các phần mềm diệt virrus, bao gồm Trend Micro, Bitdefender, McAfee, Kaspersky và Symantec.
Moshen Dragon nhắm mục tiêu vào lĩnh vực viễn thông ở Trung Á nhằm lây lan phần mềm độc hại ShadowPad và PlugX, và backdoor Gunters.
Đây là lần thứ 2 trong năm, các sản phẩm của Trend Micro bị khai thác trong các cuộc tấn công có chủ đích. Trước đó, trong tháng 3, công ty đã vá lỗ hổng nghiêm trọng trong sản phẩm Apex Central.
Theo Securityweek