Nhóm nghiên cứu Threat Intel Team của Cluster25 cho biết trong một bài báo được công bố vào tuần trước: “Cuộc tấn công liên quan đến việc sử dụng các tệp lưu trữ độc hại nhằm khai thác lỗ hổng được phát hiện gần đây của các phiên bản WinRAR trước 6.23 - lỗ hổng CVE-2023-38831”.
Mẫu độc hại là một tệp lưu trữ có tên “IOC_09_11.rar”, chứa một tệp PDF không có thật là “IOC_09_11.pdf” với ký tự dấu cách ở cuối trong tên tệp và một thư mục có cùng tên (bao gồm cả dấu cách) với tệp “IOC_09_11.pdf .cmd”, là tập lệnh BAT. Khi được nhấp vào sẽ khiến tập lệnh Windows Batch được thực thi, khởi chạy các lệnh PowerShell để mở một Reverse Shell cho phép kẻ tấn công truy cập từ xa vào máy mục tiêu.
Nội dung của tệp RAR độc hại
Tập lệnh PowerShell được triển khai để đánh cắp dữ liệu, bao gồm thông tin đăng nhập từ trình duyệt Google Chrome và Microsoft Edge. Thông tin đã thu thập được lọc qua một trang web webhook hợp lệ.
Lỗ hổng CVE-2023-388831 là một lỗ hổng có mức độ nghiêm trọng cao trong WinRAR, cho phép kẻ tấn công thực thi mã tùy ý. Các phát hiện từ công ty an ninh mạng Group-IB vào tháng 8/2023 tiết lộ rằng lỗi này đã được vũ khí hóa thành zero-day kể từ tháng 4/2023 trong các cuộc tấn công nhắm vào các doanh nghiệp.
Các cuộc tấn công này diễn ra khi công ty an ninh mạng Mandiant lập biểu đồ cho các hoạt động lừa đảo đang phát triển nhanh chóng của nhóm tin tặc APT29 nhắm mục tiêu vào các cơ quan ngoại giao và tập trung vào Ukraina trong nửa đầu năm 2023. Công ty cho biết những thay đổi đáng kể trong công cụ và quy trình của APT29 có thể được thiết kế để hỗ trợ tần suất và phạm vi hoạt động ngày càng tăng cũng như cản trở việc phân tích điều tra số, đồng thời họ đã sử dụng đồng thời nhiều chuỗi lây nhiễm khác nhau trên các hoạt động khác nhau.
Một số thay đổi đáng chú ý bao gồm việc sử dụng các trang web WordPress bị xâm nhập để lưu trữ payload giai đoạn đầu cũng như các thành phần chống mã hóa và phân tích bổ sung.
APT29 cũng có liên quan đến hoạt động khai thác tập trung vào đám mây, là một trong nhiều cụm hoạt động có nguồn gốc từ Nga nhằm vào Ukraina sau khi cuộc chiến bắt đầu vào đầu năm ngoái.
Vào tháng 7/2023, Trung tâm ứng cứu khẩn cấp máy tính của Ukraina (CERT-UA) đã chỉ ra nhóm tin tặc Turla liên quan đến các cuộc tấn công triển khai phần mềm độc hại Capibar và Kazuar để tấn công gián điệp vào hệ thống phòng thủ của Ukraine.
Trend Micro tiết lộ trong một báo cáo gần đây: “Turla là một nhóm tin tặc với lịch sử hoạt động lâu dài. Nguồn gốc, chiến thuật và mục tiêu của chúng đều cho thấy một hoạt động được tài trợ tốt với các tin tặc có tay nghề cao. Nhóm này đã liên tục phát triển các công cụ và kỹ thuật của mình trong nhiều năm và có thể sẽ tiếp tục cải tiến chúng”.
Lê Thị Bích Hằng
16:00 | 06/09/2023
11:00 | 25/01/2024
08:00 | 08/12/2023
14:00 | 04/08/2023
10:00 | 11/10/2023
13:00 | 26/02/2024
16:00 | 18/12/2023
14:00 | 25/04/2024
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
09:00 | 19/04/2024
Theo nhận định của Cục An toàn thông tin (Bộ Thông tin và Truyền thông), trong thời gian gần đây các chiêu trò lừa đảo trực tuyến ngày càng gia tăng với các hình thức tinh vi hơn. Điều này khiến cho nhiều người dân khó nhận biết để phòng tránh nguy cơ mất an toàn thông tin.
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
DinodasRAT hay còn được gọi là XDealer là một backdoor đa nền tảng được phát triển bằng ngôn ngữ C++ cung cấp nhiều tính năng độc hại. DinodasRAT cho phép kẻ tấn công theo dõi và thu thập dữ liệu nhạy cảm từ máy tính của mục tiêu. Một phiên bản cho hệ điều hành Windows của phần mềm độc hại này đã được sử dụng trong các cuộc tấn công nhắm mục tiêu vào các thực thể của Chính phủ Guyana và được các nhà nghiên cứu tới từ công ty bảo mật ESET (Slovakia) báo cáo với tên gọi là chiến dịch Jacana. Bài viết sẽ phân tích cơ chế hoạt động của phần mềm độc hại DinodasRAT dựa trên báo cáo của hãng bảo mật Kaspersky.
19:00 | 30/04/2024