Ảnh minh họa

Theo nhóm nghiên cứu và phân tích toàn cầu Kaspersky Lab, những kẻ tấn công đã lợi dụng lỗ hổng có tên mã CVE-2015- 2545 trong phần mềm Microsoft Office để lây nhiễm người dùng bằng phần mềm độc hại.

Lỗ hổng này dù đã được vá vào cuối năm 2015 nhưng vẫn bị nhiều mối đe dọa người sử dụng. Platinum, APT16, EvilPost và SPIVY là những nhóm tội phạm đã sử dụng lỗ hổng này và giờ đây, chúng hợp nhất thành cái tên mới: Danti.

Danti tập trung cao vào các tổ chức ngoại giao. Nó có thể có được quyền truy cập vào mạng lưới nội bộ trong nhiều tổ chức chính phủ Ấn Độ. Theo mạng lưới bảo mật Kaspersky, nhiều trojan từ Danti đã được phát hiện tại Kazakhstan, Kyrgyzstan, Uzbekistan, Myanmar, Nepal và Philippines. Hoạt động của nó bị phát hiện lần đầu tiên vào tháng 2 và diễn tiến đến tận bây giờ.

Việc khai thác được thực hiện thông qua những email có liên kết đến những trang web lừa đảo. Nhằm thu hút sự chú ý của nạn nhân, những kẻ đứng sau Danti đã tạo ra email dưới danh nghĩa của những quan chức cấp cao trong chính phủ Ấn Độ. Một khi việc khai thác lỗ hổng được thực hiện, backdoor Danti được cài đặt và giúp kẻ tấn công có được quyền truy cập vào máy tính bị lây nhiễm và lấy đi thông tin nhạy cảm.

Nguồn gốc Danti hiện vẫn chưa rõ nhưng những các chuyên gia có lí do để nghi ngờ rằng nhóm này có liên quan đến nhóm Nettraveler và DragonOK. Họ cho rằng hacker nói tiếng Trung Quốc đứng sau những nhóm này.

Alex Gostev, chuyên gia bảo mật cấp cao, Trung tâm nghiên cứu Kaspersky Lab APAC, cho biết: “Mức độ cập nhật vá lỗi trong những công ty mục tiêu và tổ chức chính phủ là rất thấp. Chúng tôi đề nghị các công ty nên chú ý đến việc quản lí vá lỗi trong hệ thống công nghệ thông tin nhiều hơn để tự bảo vệ mình trước hết là với những lỗ hổng đã được biết đến”.