Emotet nhắm mục tiêu vào các nền tảng Windows để phát tán phần mềm độc hại và được coi là một trong những mối đe dọa tội phạm mạng phổ biến nhất trước khi bị các cơ quan thực thi pháp luật toàn cầu phá vỡ vào tháng 1/2021.
Sau 10 tháng gián đoạn, nó đã hoạt động trở lại mạnh mẽ hơn từ tháng 11/2021 và nhắm mục tiêu đến hàng nghìn người dùng với hàng chục nghìn tin nhắn ở các quốc gia khác nhau, với hơn một triệu tin nhắn được gửi đi trong mỗi chiến dịch trong một số trường hợp nhất định.
Tuy nhiên, một loạt các hoạt động được phát hiện trong khoảng thời gian từ ngày 4/4 đến ngày 19/4/2022 đã cho thấy một sự khác biệt đáng kể so với các hành vi tấn công điển hình của Emotet. Các chuyên gia cho rằng các vụ tấn công này là do nhóm tội phạm mạng TA542 (hay còn gọi là Mummy Spider hoặc Gold Crestwood) thực hiện. Hoạt động được diễn ra khi các chiến dịch phát tán Emotet quy mô lớn khác bị tạm dừng hoạt động.
Theo Proofpoint, chiến dịch email với quy mô nhỏ này liên quan đến việc sử dụng các nội dung phát tán theo chủ đề tiền lương và các email được nhắm mục tiêu chỉ chứa URL OneDrive chứ không có nội dung nào khác. Các URL OneDrive lưu trữ các tệp nén ZIP có chứa các tệp Microsoft Excel Add-in (XLL) khi được thực thi, mã độc phân phối Emotet sẽ bắt đầu hoạt động.
Phương thức lây lan sử dụng macro trong các tệp Microsoft Word và Exel đã không còn được sử dụng. Điều này cho thấy, tin tặc đang tích cực thay đổi và phát triển các cách thức tấn công mới để đối phó với kế hoạch chặn macro VBA của Microsoft theo mặc định bắt đầu từ tháng 4/2022.
Chia sẻ về những phát hiện này, Sherrod DeGrippo, Phó Chủ tịch Nghiên cứu và Phát hiện mối đe dọa tại Proofpoint cho biết: "Sau nhiều tháng hoạt động ổn định, Emotet đang chuyển đổi mọi thứ. Có khả năng tin tặc đang thử nghiệm các kỹ thuật mới ở quy mô nhỏ trước khi phân phối chúng đến nạn nhân trên phạm vi rộng hơn hoặc phân phối thông qua các TTP mới cùng với các chiến dịch quy mô lớn hơn. Các tổ chức nên biết các kỹ thuật mới và cần thực hiện triển khai các biện pháp phòng thủ cho phù hợp".
Nguyễn Chân
11:00 | 08/02/2021
09:54 | 07/08/2017
13:00 | 02/08/2022
17:00 | 20/06/2022
15:00 | 27/06/2022
14:00 | 19/07/2022
12:00 | 12/08/2022
10:00 | 08/04/2022
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
09:00 | 25/12/2023
Các nhà nghiên cứu tại công ty an ninh mạng Elastic Security Labs (Singapore) cho biết đã phát hiện các kỹ thuật mới được sử dụng bởi phần mềm độc hại GuLoader để khiến việc phân tích trở nên khó khăn hơn. Một trong những thay đổi này là việc bổ sung các ngoại lệ vào tính năng VEH (Vectored Exception Handler) trong một chiến dịch tấn công mạng mới đây.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024