CERT-UA cho rằng chiến dịch tấn công được thực hiện bởi nhóm tin tặc UAC-0027. Phần mềm độc hại DirtyMoe xuất hiện sớm nhất từ năm 2016 và được triển khai bằng nhiều bộ công cụ khác nhau như PurpleFox hoặc trình cài đặt Telegram được chèn vào yêu cầu sự tương tác của người dùng. Đặc biệt, DirtyMoe có khả năng thực hiện các cuộc tấn công mã hóa, tấn công từ chối dịch vụ phân tán (DDoS) và khai thác tiền điện tử.
DirtyMoe thực thi dưới dạng dịch vụ Windows với các đặc quyền hệ thống thông qua EternalBlue (mã khai thác thông tin được phát triển bởi Cục An ninh Quốc gia Mỹ - NSA) và ít nhất ba hoạt động khai thác khác. Theo công ty an ninh mạng Avast (Cộng hòa Séc), chức năng cụ thể này được điều khiển từ xa bởi tác giả phần mềm độc hại, những người có thể cấu hình lại hàng nghìn phiên bản DirtyMoe để đạt được các chức năng mong muốn trong vòng vài giờ. Vào tháng 3/2022, Avast cũng đã tiết lộ khả năng lây nhiễm của DirtyMoe với các đặc điểm của Worm bằng cách lợi dụng các lỗi bảo mật đã được công bố.
Theo các nhà nghiên cứu của CERT-UA, botnet DDoS trong chiến dịch lây nhiễm DirtyMoe được phát tán thông qua Purple Fox hoặc các gói cài đặt MSI giả mạo cho các phần mềm phổ biến như Telegram. Purple Fox cũng được trang bị rootkit cho phép kẻ tấn công che giấu phần mềm độc hại trên máy mục tiêu và gây khó khăn cho việc phát hiện cũng như loại bỏ.
Điều đáng chú ý, DirtyMoe có chức năng tự lan truyền bằng cách thu thập dữ liệu xác thực hoặc khai thác một số lỗ hổng liên quan đến các máy tính nằm trong mạng cục bộ và các máy tính dựa trên danh sách địa chỉ IP được tạo bởi một thuật toán cụ thể, tùy thuộc vào địa chỉ IP công cộng của mục tiêu.
Để đảm bảo khả năng chịu lỗi (Fault Tolerance) trong giao tiếp với cơ sở hạ tầng điều khiển, ít nhất ba phương pháp khai thác được các tin tặc sử dụng, một trong số đó có liên quan đến việc lấy giá trị bản ghi A cho các tên miền được xác định bằng cả máy chủ DNS cục bộ và bên ngoài, bao gồm: 8.8.8.8 ; 1.1.1.1 ; 114.114.114.114 và 119.29.29.29. Ngoài ra, các địa chỉ IP được lưu trữ trong registry của hệ điều hành và những địa chỉ có được thông qua truy vấn DNS đều bị xáo trộn.
CERT-UA cho biết họ đã xác định được 486 địa chỉ IP của các máy chủ kiểm soát trung gian trong khoảng thời gian từ ngày 20 đến ngày 31/01/2024, phần lớn trong số đó có liên quan đến các thiết bị phần cứng bị xâm nhập ở Trung Quốc. Đồng thời, CERT-UA cũng khuyến nghị các tổ chức nên cập nhật bản vá bảo mật đối với các hệ thống chủ quản và giám sát lưu lượng truy cập mạng để phát hiện bất kỳ hoạt động bất thường nào.
Tiết lộ này được đưa ra khi hãng bảo mật Securonix (Mỹ) trình bày chi tiết về một chiến dịch lừa đảo đang diễn ra có tên là STEADY#URSA để cung cấp backdoor PowerShell SUBTLE-PAWS, với mục tiêu nhắm vào các cơ quan thuộc Quân đội Ukraine.
Vũ Mạnh Hà
(Tổng hợp)
14:00 | 29/09/2022
08:00 | 12/03/2024
12:00 | 12/08/2022
08:00 | 21/03/2024
13:00 | 02/08/2022
08:00 | 17/04/2024
Các chuyên gia bảo mật cảnh báo rằng thế giới đang phải đối mặt với sự phát triển của những công nghệ mới, mối đe dọa đang ngày càng gia tăng cả về phạm vi, lẫn cường độ của các cuộc tấn công.
09:00 | 06/03/2024
Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
17:00 | 22/12/2023
Mới đây, các nhà nghiên cứu tới từ hãng bảo mật Kaspersky đã đưa ra báo cáo về việc phát hiện một loại Trojan mới có liên quan đến nhóm tin tặc APT BlueNoroff và chiến dịch RustBucket đang diễn ra. Trojan này là một trình tải độc hại được thiết kế để tải và thực thi mã độc khác trên hệ thống bị xâm nhập với mục tiêu nhắm vào người dùng macOS. Bài viết này sẽ cùng tìm hiểu, khám phá Trojan BlueNoroff cũng như thông tin xoay quanh nhóm tin tặc này.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024