Các nhà nghiên cứu của Microsoft cho biết đã phát hiện một chiến dịch phân phối phần mềm độc hại vào cuối tháng 10/2022. Chiến dịch này có tên gọi DEV-0569, sử dụng Google Ads để chuyển hướng các nạn nhân đến một trang web nhằm tải xuống các tệp độc hại. Qua quan sát, chiến dịch này hoạt động theo một mô hình đổi mới liên tục, với sự kết hợp thường xuyên của các kỹ thuật trinh sát, tìm kiếm mới, khả năng trốn tránh phát hiện và nhiều payload xâm nhập khác nhau, bên cạnh việc tăng khả năng hoạt động để tạo điều kiện cho mã độc tống tiền".
Nhóm tin tặc được cho là đã dựa vào các quảng cáo độc hại để hướng các nạn nhân truy cập đến các liên kết của một trình tải xuống mã độc, đóng vai trò là trình cài đặt phần mềm cho các ứng dụng hợp pháp như Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams và Zoom. Trình tải xuống độc hại này được gọi là BATLOADER - một công cụ có chức năng như một đường dẫn để phân phối payload trong giai đoạn tiếp theo. Nó đã được quan sát để kết hợp với một phần mềm độc hại khác là Zloader.
Một phân tích gần đây về BATLOADER của công ty an ninh mạng eSentire (cùng công ty cung cấp dịch vụ điện toán đám mây và ảo hóa VMware) đã chỉ ra khả năng tàng hình và tính bền bỉ của phần mềm độc hại này, bên cạnh việc sử dụng payload để tối ưu hóa công cụ tìm kiếm nhằm thu hút người dùng tải xuống phần mềm độc hại từ các trang web bị xâm nhập hoặc tên miền do tin tặc tạo ra. Ngoài ra, các liên kết lừa đảo này được chia sẻ thông qua các email rác, diễn đàn giả mạo, bình luận trên blog và thậm chí cả biểu mẫu liên hệ có trên website của các tổ chức được nhắm mục tiêu.
Quy trình hoạt động của mã độc tống tiền Royal
Microsoft lưu ý rằng, DEV-0569 đã sử dụng các chuỗi lây nhiễm khác nhau bằng cách sử dụng PowerShell và các tập lệnh hàng loạt, cuối cùng dẫn đến việc tải xuống các phần mềm độc hại như phần mềm đánh cắp thông tin hoặc một công cụ quản lý từ xa hợp pháp được sử dụng để duy trì kết nối mạng. Công cụ quản lý cũng có thể là một điểm truy cập để thiết kế và lây lan mã độc tống tiền.
Bên cạnh đó, công cụ được tin tặc sử dụng trong các chiến dịch tấn công này có tên Nsudo, có thể khởi chạy các chương trình có đặc quyền nâng cao và làm giảm khả năng phòng thủ hệ thống, bằng cách thêm các giá trị registry được thiết kế để vô hiệu hóa các giải pháp chống virus.
Microsoft chỉ ra rằng việc sử dụng Google Ads để phân phối BATLOADER đánh dấu sự đa dạng hóa các vec-tơ phân phối của DEV-0569, cho phép nó tiếp cận nhiều mục tiêu hơn và phân phối payload các phần mềm độc hại. Với việc DEV-0569 lạm dụng các dịch vụ hợp pháp, các tổ chức cũng có thể sử dụng các quy tắc lọc thư để nắm bắt các từ khóa đáng ngờ hoặc xem xét các ngoại lệ, chẳng hạn như các ngoại lệ liên quan đến dải IP và danh sách cho phép truy cập tên miền.
Hồng Đạt
11:00 | 11/11/2022
15:00 | 19/01/2023
14:00 | 14/12/2022
21:00 | 12/12/2022
10:00 | 15/12/2022
12:00 | 23/09/2022
09:00 | 13/12/2022
14:00 | 21/11/2022
10:00 | 22/12/2022
15:00 | 26/01/2024
Các nhà nghiên cứu bảo mật của công ty an ninh mạng Akamai (Mỹ) phát hiện ra một mạng botnet mới dựa trên Mirai có tên là NoaBot, hiện đang được các tác nhân đe dọa sử dụng như một phần của chiến dịch khai thác tiền điện tử đã hoạt động kể từ đầu năm 2023. Bài viết này sẽ phân tích về đặc điểm của NoaBot và công cụ khai thác tiền điện tử được sử dụng trong chiến dịch tấn công mạng botnet này.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
16:00 | 01/12/2023
Các nhà nghiên cứu an ninh mạng của hãng bảo mật Check Point cho biết đã phát một số biến thể mới của phần mềm độc hại SysJoker, trong đó bao gồm một biến thể được mã hóa bằng Rust, được các tin tặc ủng hộ Hamas sử dụng trong các cuộc tấn công mạng nhắm đến Israel, trong bối cảnh leo thang cuộc xung đột vũ trang giữa Israel và Hamas đang diễn ra. Trong bài viết này sẽ tập trung phân tích phiên bản Rust của SysJoker dựa trên báo cáo nghiên cứu mới đây của Check Point.
13:00 | 21/11/2023
Fortinet cảnh báo khách hàng về lỗ hổng chèn lệnh nghiêm trọng trong hệ điều hành máy chủ của FortiSIEM, lỗ hông này có thể bị khai thác bởi kẻ tấn công chưa xác thực từ xa để thực thi lệnh qua các truy vấn API tự tạo.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024