Chỉ trong vài tháng trở lại đây, an ninh mạng của Mỹ đã bị ảnh hưởng nghiêm trọng vì liên tiếp phải hứng chịu các đợt tấn công của mã độc tống tiền (ransomware). Tin tặc đang cố gắng tận dụng cuộc khủng hoảng tấn công tống tiền công ty Kaseya để tấn công vào các nạn nhân tiềm năng, trong một chiến dịch thư rác đính kèm mã độc Cobalt Strike được ngụy trang thành các bản cập nhật bảo mật Kaseya VSA.
Cobalt Strike là một công cụ kiểm tra thâm nhập hợp pháp và phần mềm mô phỏng mối đe dọa. Tin tặc thường sử dụng cho các nhiệm vụ sau khai thác và triển khai beacon cho phép chúng truy cập từ xa vào các hệ thống bị xâm phạm. Mục tiêu cuối cùng của các cuộc tấn công như vậy là thu thập và trích xuất dữ liệu nhạy cảm hoặc triển khai một phần mềm độc hại ở giai đoạn tiếp theo.
Các nhà nghiên cứu tại Malwarebytes Threat Intelligence đã phát hiện ra chiến dịch thư rác sử dụng hai chiến thuật khác nhau để phát tán Cobalt Strike.
Các email độc hại được gửi trong chiến dịch này gắn với tệp đính kèm độc hại và một liên kết nhúng được thiết kế trông giống như một bản vá của Microsoft cho Kaseya VSA zero-day bị khai thác trong cuộc tấn công ransomware REvil. Qua đó, tin tặc có được quyền truy cập từ xa vào hệ thống mục tiêu sau khi người dùng chạy tệp đính kèm độc hại hoặc tải xuống và khởi chạy bản cập nhật Microsoft giả mạo trên thiết bị của mình.
Thư giả mạo được gửi tới nạn nhân
Kaseya cho biết họ không thể triển khai bản cập nhật bản vá cho VSA zero-day do REvil khai thác, nhiều khách hàng của Kaseya có thể mắc bẫy trong chiến dịch lừa đảo này.
Trước đó vào tháng 6/2021, tin tặc cũng đã sử dụng các bản cập nhật hệ thống giả mạo, tuyên bố giúp phát hiện và chặn việc lây nhiễm ransomware sau cuộc tấn công Colonial Pipeline. Cũng giống như chiến dịch malspam, chiến dịch lừa đảo này cũng sử dụng các phần mềm độc hại được thiết kế để triển khai công cụ kiểm tra thâm nhập Cobalt Strike.
Các nhà nghiên cứu của INKY đã phát hiện ra các cuộc tấn công cho biết, các email lừa đảo đi kèm với thời hạn cài đặt các bản cập nhật giả mạo để tăng thêm tính cấp bách. Các trang tải xuống payload cũng được tùy chỉnh bằng cách sử dụng giao diện giống với của công ty mục tiêu để làm cho chúng có vẻ đáng tin cậy.
Hai chiến dịch này nhấn mạnh rằng các tác nhân đe dọa trong hoạt động kinh doanh lừa đảo theo dõi các tin tức mới nhất để thúc đẩy các chiêu dụ có liên quan đến các sự kiện gần đây nhằm tăng tỷ lệ thành công cho các chiến dịch của mình.
Việc lợi dụng các nạn nhân đang trong tình trạng hoảng loạn trước các cuộc tấn công lớn đang tăng lên trong thời gian gần đây. Các công ty, tổ chức và cá nhân cẩn cẩn trọng trước các thông tin liên quan đến các cuộc tấn công này. Điều quan trọng nhất là luôn duy trì các hệ thống, chính sách bảo mật chống lại các email lừa đảo và có đính kèm mã độc.
Đăng Thứ
15:00 | 11/06/2021
17:00 | 09/08/2021
17:00 | 28/07/2021
13:00 | 11/06/2021
15:00 | 09/06/2021
10:00 | 22/04/2024
Trong một xu hướng đáng lo ngại được Bitdefender Labs (Hoa Kỳ) phát hiện gần đây, tin tặc đang tận dụng sự quan tâm ngày càng tăng đối với AI để phát tán các phần mềm độc hại tinh vi. Những kẻ tấn công này đang tung ra các chiến dịch quảng cáo độc hại trên mạng xã hội, giả dạng các dịch vụ AI phổ biến như Midjourney, DALL-E và ChatGPT để đánh lừa người dùng.
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
15:00 | 18/12/2023
Ngày 12/12, Kyivstar - nhà mạng lớn nhất Ukraine hứng chịu một cuộc tấn công mạng lớn, khiến hàng triệu người dùng mất kết nối di động và Internet. Đáng chú ý sự cố gây ảnh hưởng đến hệ thống cảnh báo không kích của nước này.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024