Công ty an ninh mạng Kaspersky đã phát hiện ra hoạt động này vào tháng 5 năm 2024. Công ty cho biết thủ đoạn mà nhóm tin tặc sử dụng có những điểm tương đồng với CloudWizard, nhưng chỉ ra những điểm khác biệt trong mã nguồn phần mềm độc hại. Các cuộc tấn công sử dụng một chương trình thu thập dữ liệu sáng tạo và một loạt chiến thuật trốn tránh để che đậy dấu vết.
Đây là một công cụ gián điệp mạng tinh vi được sử dụng để giám sát lén lút, thu thập và lọc dữ liệu thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại tận dụng tài nguyên đám mây làm máy chủ ra lệnh và kiểm soát (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Ngoài ra, CloudSorcerer sử dụng GitHub làm máy chủ C2 ban đầu.
Hiện chưa rõ phương pháp chính xác được sử dụng để xâm nhập vào các mục tiêu, nhưng quyền truy cập ban đầu được khai thác để loại bỏ tệp nhị phân thực thi di động dựa trên C được sử dụng làm backdoor, khởi tạo liên lạc C2 hoặc đưa shellcode vào các quy trình hợp pháp khác dựa trên quy trình trong đó nó được thực thi – cụ thể là mspaint.exe, msiexec.exe hoặc chứa chuỗi "browser".
Công ty Kaspersky lưu ý người dùng: “Khả năng của phần mềm độc hại tự động điều chỉnh hành vi của nó dựa trên tiến trình mà nó đang chạy, cùng với việc sử dụng giao tiếp giữa các tiến trình phức tạp thông qua các đường dẫn của Windows, càng làm nổi bật thêm sự tinh vi của nó”.
Hà Phương
14:00 | 01/11/2023
08:00 | 13/10/2023
10:00 | 16/08/2024
14:00 | 27/10/2023
14:00 | 20/08/2024
10:00 | 19/08/2024
Công ty an ninh mạng Fortra (Hoa Kỳ) đã đưa ra cảnh báo về một lỗ hổng mới nghiêm trọng được phát hiện trên Windows có thể gây ra hiện tượng “màn hình xanh chết chóc”, đe dọa đến dữ liệu và hệ thống của hàng triệu người dùng.
14:00 | 06/08/2024
Một nhóm tin tặc có tên Stargazer Goblin đã thiết lập một mạng lưới các tài khoản GitHub không xác thực để cung cấp dịch vụ phân phối dưới dạng dịch vụ (DaaS) nhằm phát tán nhiều loại phần mềm độc hại và đánh cắp thông tin, nhóm đã thu về 100.000 USD lợi nhuận bất hợp pháp trong năm qua.
13:00 | 25/07/2024
Các trình duyệt web phổ biến như Google Chrome, Microsoft Edge, Opera và Brave đều dựa trên nền tảng mã nguồn mở Chromium hiện đang bị cáo buộc âm thầm gửi thông tin người dùng cho Google.
09:00 | 20/06/2024
Mới đây, Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đã bổ sung một lỗ hổng bảo mật ảnh hưởng đến Máy chủ WebLogic của Oracle vào danh mục Các lỗ hổng bị khai thác đã biết (KEV).
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
14:00 | 17/09/2024