Gần đây, ESET đã công bố một báo cáo về một chiến dịch tấn công chuỗi cung ứng (supply chain attack) nhắm vào hãng phần mềm BigNox, lợi dụng cơ chế update của phần mềm NoxPlayer, một phần mềm giả lập (emulator) hệ điều hành Android chạy trên PC và Mac. Phần mềm này được nhiều game thủ của Việt Nam cũng như trên thế giới sử dụng. ESET đã đặt tên chiến dịch này là Operation NightScout. Với nhận định Việt Nam chúng ta cũng có thể có nhiều người đã bị lây nhiễm do tập người dùng lớn, nên chúng tôi đã bắt tay điều tra, phân tích thêm.
Dựa theo các hash của các mẫu mà ESET cung cấp, chúng tôi đã không chỉ phân tích lại hết mà còn phân tích sâu hơn vào các mẫu đó. Chúng tôi đã phát hiện ra nhiều điểm mà báo cáo của ESET không nêu ra. Đồng thời, chúng tôi đã tìm ra một số mối liên hệ, tương đồng giữa các mẫu này và các mẫu đã được dùng trong chiến dịch tấn công Ban Cơ yếu Chính phủ vừa qua cũng như một tập đoàn lớn của Việt Nam mà chúng tôi đã có đề cập. Không chỉ vậy, chúng tôi đã phát hiện ra một dòng RAT mới, đó là #ElephantRat
"Qua hoạt động theo dõi tình hình an ninh mạng liên tục, VinCSS đã phát hiện có một tweet của nhóm ShadowChaser Group(@ShadowChasing1) về một tài liệu chứa mã độc với nội dung tiếng Việt. Nhận định, đây có thể là một chiến dịch tấn công mạng vào Việt Nam, chúng tôi đã tải được file mẫu về.
Qua đánh giá nhanh, chúng tôi phát hiện nhiều điểm thú vị của mẫu này nên đã quyết định tiến hành phân tích. Đây là Phần 1 trong loạt bài phân tích về mẫu này..."