Để xây dựng uy tín và kết nối với các nhà nghiên cứu bảo mật, các đối tượng đã thành lập một blog chuyên đăng các nghiên cứu về khai thác lỗ hổng với nhiều tài khoản Twitter để tương tác với các mục tiêu tiềm năng. Chúng sử dụng các tài khoản Twitter này để đăng các liên kết đến blog của chúng, đăng video về các thành tích được tuyên bố của chúng để khuếch đại và đăng lại các bài đăng từ các tài khoản khác mà chúng kiểm soát.
Hình 1: Các tài khoản của tác nhân đứng đằng sau chiến dịch
Blog của chúng chứa các bài viết và phân tích các lỗ hổng đã được tiết lộ công khai, bao gồm các bài đăng từ những chuyên gia bảo mật chưa từng được biết đến nhằm tạo thêm uy tín với các nhà nghiên cứu bảo mật khác.
Các chuyên gia từ Google không khẳng định về tính chính xác của các bài nghiên cứu trên blog, nhưng họ đã phát hiện ra có một trong số các video đăng tải về mã khai thác của họ là giả mạo. Ví dụ video về CVE-2021-1647 khai thác lỗ hổng Windows Defender, khi rất nhiều chuyên gia khẳng định đây là giả mạo thì tác giả của video lại dùng một tài khoản Twitter khác để khẳng định video này là thật.
Hình 2: Các bài twitter khẳng định uy tín của video giả mạo
Các tác nhân được theo dõi cho thấy, chúng nhắm mục tiêu vào các nhà nghiên cứu bảo mật bằng các phương pháp kỹ thuật xã hội mới. Sau khi liên lạc được với các nhà bảo mật, tác nhân sẽ hỏi nhà nghiên cứu xem họ có muốn hợp tác để nghiên cứu lỗ hổng với nhau hay không và cung cấp cho nhà nghiên một dự án Visual Studio. Bên trong Visual Studio là mã nguồn để khai thác lỗ hổng cùng với một tập DLL đính kèm được thực thi thông qua Visual Studio Build Events. Tập tin DLL là mã độc tuỳ chỉnh sẽ kết nối và nhận lệnh từ tên miền do tác nhân kiểm soát.
Hình 3: Lệnh để khởi chạy mã độc đính kèm
Ngoài việc nhắm mục tiêu người dùng thông qua kỹ thuật xã hội, các chuyên gia TAG cũng đã quan sát thấy một số trường hợp máy tính của các nhà nghiên cứu đã bị xâm nhập sau khi truy cập blog của các tác nhân. Trong các trường hợp này, các nhà nghiên cứu đã theo một liên kết trên Twitter tới một bài viết được lưu trữ trên blog.br0vvnn[.]io. Ngay sau đó, một dịch vụ độc hại đã được cài đặt trên máy tính của nhà nghiên cứu, một backdoor trong bộ nhớ sẽ bắt đầu kết nối một máy chủ điều khiển và chạy lệnh được định sẵn. Điều nguy hiểm ở đây là các nhà nghiên cứu đều dùng trình duyệt Chrome và hệ điều hành Windows mới nhất, được cập nhật đầy đủ.
Các chuyên gia không xác định được lỗ hổng của Chrome mà tác nhân đang khai thác nên dự kiến lỗ hổng sẽ còn được sử dụng để khai thác trong các chiến dịch khác. Các chuyên gia cũng khuyến cáo nếu người dùng truy cập vào trang web trên, thì nên cài đặt lại ngay máy tính của mình, cũng như thực hiện đổi mật khẩu các tài khoản quan trọng ngay lập tức.
Đăng Thứ (theo Google)
15:00 | 03/07/2014
17:00 | 02/04/2021
09:00 | 26/01/2021
08:00 | 17/07/2019
15:00 | 25/03/2024
Ngày 15/3/2024, Quỹ Tiền tệ Quốc tế (IMF) cho biết họ đã bị tấn công mạng sau khi những kẻ tấn công xâm phạm 11 tài khoản email của tổ chức này vào đầu năm nay.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024