Nhóm APT41 xâm nhập dữ liệu viện nghiên cứu Đài Loan

Các nhà nghiên cứu Cisco Talos vừa báo cáo rằng, nhóm APT41 liên quan Trung Quốc đã xâm nhập vào một viện nghiên cứu trực thuộc chính phủ Đài Loan. Chiến dịch bắt đầu từ tháng 7/2023, trong đó hacker sử dụng mã độc ShadowPad, Cobalt Strike và các công cụ khai thác khác.

ShadowPad là một trojan truy cập từ xa dạng mô-đun (RAT) được bán độc quyền cho các nhóm tin tặc Trung Quốc. Mã độc có mối liên kết với APT41, nhóm hacker được cho là hoạt động tại Thành Đô, Trung Quốc và cũng từng được các nhóm khác như Mustang Panda và Tonto Team sử dụng.

Các nhà nghiên cứu chưa xác định được vectơ tấn công ban đầu, nhưng cho biết những kẻ tấn công đã xâm phạm ba máy chủ trong môi trường mục tiêu và đánh cắp một số tài liệu từ mạng.

Hacker cũng sử dụng một web shell để “bám trụ” trên hệ thống và cài các payload bổ sung như ShadowPad và Cobalt Strike.

Nguồn: Security Affairs