Nhóm tin tặc APT Blue Termite tấn công các tổ chức Nhật Bản

Kaspersky Lab đã theo dõi hoạt động của nhóm Blue Termite, một nhóm tin tặc APT thường xuyên tấn công các tổ chức Nhật Bản.  Blue Termite bắt đầu hoạt động từ tháng 9 năm 2013 với hàng loạt vụ đánh cắp dữ liệu lớn.

Hàng trăm tổ chức là đối tượng tấn công của Blue Termite trong suốt hai năm qua, bao gồm cơ quan chính phủ, trường đại học, tập đoàn công, công ty dịch vụ tài chính, ngân hàng, các doanh nghiệp tự động hóa, hóa học, chăm sóc sức khỏe, điện tử, bất động sản, nhà hàng, xây dựng., bảo hiểm, giao thông, robot và công nghệ thông tin.

Blue Termite được cho là nhóm chịu trách nhiệm cho vụ tấn công Cơ quan trợ cấp lương hưu Nhật Bản. Dữ liệu của 1.25 triệu người đã bị xâm nhập. Blue Termite vẫn đang hoạt động và số lượng máy tính bị lây nhiễm tăng lên đáng kể vào hồi tháng 7, sau khi khai thác Flash Player của Hacking Team rò rỉ. Trước khi sử dụng khai thác này, Blue Termite lợi dụng mũi tấn công email lừa đảo để lây nhiễm malware.

Blue Termite nhắm đến đối tượng người dùng cụ thể thông qua các trang lừa đảo. Malware loại Emdivi được sử dụng để đánh cắp dữ liệu từ nạn nhân. Một trong những điểm thú vị là mỗi nạn nhân bị tấn công bởi một loại malware riêng biệt chỉ chạy trên máy tính đó. Sau khi phân tích malware, Kaspersky Lab xác định rằng tin tặc là kẻ nói tiếng Trung Quốc.

Các tổ chức bảo mật khác cũng đã theo dõi hành vi nhóm tin tặc này. Chúng tôi sẽ đăng tải phân tích mối đe dọa được Blue Termite sử dụng tấn công người dùng trong bài viết sau.