Công ty an ninh mạng TG Soft (Ý) cho biết trong một phân tích được công bố mới đây rằng hai cuộc tấn công có chủ đích diễn ra vào ngày 24/6 và ngày 2/7.
Công ty lưu ý: "Cả hai cuộc tấn công đều dụ dỗ nạn nhân cài đặt gói Skype for Business từ một liên kết của một tên miền trông giống với Chính phủ Ý để phân phối một biến thể của phần mềm độc hại 9002 RAT".
Nhóm tin tặc APT17 xuất hiện lần đầu tiên vào năm 2013, được phát hiện bởi các kỹ sư bảo mật Mandiant Google. Các tin tặc này lợi dụng lỗ hổng zero-day trong trình duyệt Internet Explorer của Microsoft để xâm nhập các mục tiêu tấn công. APT17 còn được biết đến với các tên gọi khác như Aurora Panda, Bronze Keystone, Dogfish, Elderwood, Helium, Hidden Lynx và TEMP.Avengers.
Phần mềm độc hại 9002 RAT, hay còn gọi là Hydraq và McRAT, đã từng được các tác nhân đe dọa sử dụng làm công cụ tấn công trong chiến dịch Aurora nhằm xâm nhập vào Google và các công ty lớn khác vào năm 2009. Sau đó, phần mềm độc hại này cũng được phát hiện trong một chiến dịch khác vào năm 2013 có tên là Sunshop, trong đó những kẻ tấn công đã chèn các chuyển hướng độc hại vào một số trang web.
Các cuộc tấn công mới đòi hỏi việc sử dụng mồi nhử lừa đảo trực tuyến để đánh lừa người nhận nhấp vào liên kết thúc giục họ tải xuống trình cài đặt MSI cho Skype for Business ("SkypeMeeting.msi"). Việc khởi chạy gói MSI sẽ kích hoạt việc thực thi tệp lưu trữ Java (JAR) thông qua Visual Basic Script (VBS), đồng thời cài đặt phần mềm trò chuyện hợp pháp trên hệ thống Windows. Ngược lại, ứng dụng Java sẽ giải mã và thực thi shellcode chịu trách nhiệm khởi chạy 9002 RAT.
Theo đánh giá của của nhà nghiên cứu, 9002 RAT có các tính năng giám sát lưu lượng mạng, chụp ảnh màn hình, liệt kê tệp, quản lý tiến trình và chạy các lệnh bổ sung nhận được từ máy chủ điều khiển và ra lệnh (C2), cùng nhiều tính năng khác.
TG Soft nhận định: “Phần mềm độc hại dường như cũng được cập nhật liên tục với các biến thể mới, bao gồm nhiều mô-đun khác nhau được những kẻ tấn công thực thi khi cần thiết nhằm giảm khả năng bị phát hiện và ngăn chặn”.
Bá Phúc
(The Hacker News)
15:00 | 30/07/2024
14:00 | 20/08/2024
08:00 | 12/07/2024
16:00 | 30/05/2024
16:00 | 04/09/2024
14:00 | 06/08/2024
13:00 | 13/08/2024
10:00 | 07/06/2024
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
08:00 | 17/07/2024
Mới đây, một lỗ hổng bảo mật nghiêm trọng trong Exim Mail Server đã được phát hiện có thể cho phép kẻ tấn công gửi các tệp đính kèm độc hại đến hộp thư của người dùng mục tiêu.
14:00 | 18/06/2024
Hiện nay, những kẻ lừa đảo thường mở các tài khoản ngân hàng, sau đó tìm cách chiếm đoạt tài khoản Facebook trùng tên để thực hiện các hành vi mượn tiền nhằm chiếm đoạt tài sản của người dùng.
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
14:00 | 17/09/2024