Một tác nhân đe dọa dai dẳng nâng cao (APT) được gọi là Budworm đã nhắm mục tiêu vào một thực thể có trụ sở tại Hoa Kỳ lần đầu tiên sau hơn sáu năm, theo nghiên cứu mới nhất.
Cuộc tấn công nhằm vào một cơ quan lập pháp tiểu bang giấu tên của Hoa Kỳ, nhóm Symantec Threat Hunter, một phần của Broadcom Software, cho biết trong một báo cáo được chia sẻ với The Hacker News.
Các cuộc xâm nhập khác gia tăng trong sáu tháng qua là nhằm vào chính phủ của một quốc gia Trung Đông, một nhà sản xuất điện tử đa quốc gia và một bệnh viện ở Đông Nam Á.
Budworm, còn được gọi là APT27, Bronze Union, Emissary Panda, Lucky Mouse và Red Phoenix, là một tác nhân đe dọa được cho là hoạt động thay mặt cho Trung Quốc thông qua các cuộc tấn công tận dụng sự kết hợp của các công cụ tùy chỉnh và công khai có sẵn để thâm nhập thông tin quan tâm.
"Liên minh Đồng duy trì mức độ linh hoạt hoạt động cao để thích ứng với môi trường mà nó hoạt động," Secureworks lưu ý trong một hồ sơ của nhóm quốc gia-nhà nước, chỉ ra khả năng "duy trì quyền truy cập vào các hệ thống nhạy cảm trong một thời gian dài. "
Một cửa hậu nổi bật được cho là của tập thể đối thủ là HyperBro, đã được đưa vào sử dụng ít nhất từ năm 2013 và đang được phát triển liên tục. Các công cụ khác của nó bao gồm PlugX, SysUpdate và China Chopper web shell.
Tập hợp các cuộc tấn công mới nhất cũng không khác, với tác nhân đe dọa tận dụng các lỗ hổng Log4Shell để xâm phạm máy chủ và cài đặt trình bao web, cuối cùng mở đường cho việc triển khai HyperBro, PlugX, Cobalt Strike và phần mềm kết xuất thông tin xác thực.
Sự phát triển này đánh dấu lần thứ hai Budworm có liên quan đến một cuộc tấn công vào một thực thể của Mỹ. Đầu tháng này, chính phủ Hoa Kỳ tiết lộ rằng nhiều nhóm tin tặc quốc gia-nhà nước đã vi phạm một tổ chức lĩnh vực quốc phòng sử dụng proxylogon lỗ hổng trong Microsoft Exchange Server để bỏ China Chopper và HyperBro.
"Trong những năm gần đây, hoạt động của nhóm dường như chủ yếu tập trung vào châu Á, Trung Đông và châu Âu", các nhà nghiên cứu cho biết. "Việc nối lại các cuộc tấn công nhằm vào các mục tiêu có trụ sở tại Mỹ có thể báo hiệu sự thay đổi trọng tâm của nhóm này".