Mã độc PicassoLoader được sử dụng trong các cuộc tấn công mạng đang diễn ra tại Ukraine và Ba Lan

16:00 | 21/07/2023 | HACKER / MALWARE

Các nhà nghiên cứu thuộc nhóm tình báo Talos của Cisco đã phát hiện một số chiến dịch tấn công mạng gần đây nhắm vào các tổ chức chính phủ, quân sự và dân sự tại Ukraine và Ba Lan để thực hiện đánh cắp thông tin dữ liệu nhạy cảm để giành quyền truy cập từ xa vào các hệ thống bị lây nhiễm.

Mã độc PicassoLoader được sử dụng trong các cuộc tấn công mạng đang diễn ra tại Ukraine và Ba Lan

Các giai đoạn tấn công

Theo các nhà nghiên cứu, chiến dịch được phát hiện kéo dài từ tháng 4/2022 đến tháng 7/2023, bằng cách sử dụng một số tệp Microsoft Excel và PowerPoint độc hại để làm mồi nhử dụ dỗ nạn nhân kích vào, từ đó thực thi mã độc cho trình tải xuống có tên là “PicassoLoader”, hoạt động như một đường dẫn để khởi chạy Cobalt Strike Beacon và njRAT.

Các nhà nghiên cứu Vanja Svajcer của Cisco Talos cho biết: “Các cuộc tấn công đã sử dụng một chuỗi lây nhiễm nhiều tầng bắt đầu bằng các tài liệu Microsoft Office độc hại, phổ biến nhất là sử dụng các định dạng tệp Microsoft Excel và PowerPoint. Tiếp theo là một trình tải xuống có thể thực thi và payload được ẩn giấu trong một tệp hình ảnh, có khả năng khiến việc phát hiện trở nên khó khăn hơn”.

Nhóm Ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) quy kết một số hoạt động này cho nhóm tin tặc “GhostWriter” (còn gọi là UAC-0057 hoặc UNC1151), có liên quan đến Chính phủ Belarus. Điều đáng chú ý là một nhóm nhỏ các cuộc tấn công này đã được CERT-UA và Fortinet FortiGuard Labs ghi nhận trong năm qua, một trong số đó đã sử dụng các tài liệu PowerPoint chứa macro để phân phối mã độc Agent Tesla vào tháng 7/2022.

Dòng thời gian của các cuộc tấn công khác nhau

Chuỗi lây nhiễm nhằm mục đích thuyết phục nạn nhân kích hoạt macro, với macro VBA được thiết kế để loại bỏ trình tải xuống DLL được gọi là PicassoLoader, sau đó tiếp cận trang web do kẻ tấn công kiểm soát để thực thi payload giai đoạn tiếp theo, một tệp hình ảnh hợp pháp được nhúng vào tệp cuối cùng của phần mềm độc hại. Tiết lộ được đưa ra khi CERT-UA nêu chi tiết một số hoạt động lừa đảo phân phối mã độc SmokeLoader cũng như một cuộc tấn công giả mạo được thiết kế để giành quyền kiểm soát trái phép tài khoản Telegram của mục tiêu.

Tháng trước, CERT-UA cũng đã tiết lộ một chiến dịch gián điện mạng nhằm vào các tổ chức chính phủ và cơ quan truyền thông ở Ukraine khi sử dụng email và tin nhắn để phân phối tệp độc hại. Nếu được khởi chạy sẽ dẫn đến việc thực thi tập lệnh PowerShell có tên “LONEPAGE” để tìm nạp payload trong giai đoạn tiếp theo như trình đánh cắp trình duyệt “THUMBCHOP” và keylogger “CLOGFLAG”.

GhostWriter là một trong số nhiều tác nhân đe dọa đã nhắm đến Ukraine, trong đó bao gồm nhóm tin tặc APT28, đã sử dụng tệp đính kèm HTML trong email lừa đảo để nhắc người nhận thay đổi mật khẩu của họ trên UKR.NET và Yahoo! với cảnh báo phát hiện các hoạt động đáng ngờ trong tài khoản của họ, điều này sẽ chuyển hướng đến các trang đích không có thật và từ đó tin tặc có thể đánh cắp thông tin đăng nhập của người dùng.

Hữu Tài

(Theo Thehackernews)

‹ › ×

Tin liên quan

NSA hướng dẫn phòng chống mã độc BlackLotus nhắm tới hệ thống Windows

13:00 | 11/07/2023

Vào ngày 22/06/2023, Cơ quan an ninh Liên bang Mỹ (NSA) đã công bố hướng dẫn giúp các doanh nghiệp, tổ chức phòng tránh một dạng mã độc can thiệp và thay đổi quá trình khởi động của hệ điều hành Windows (Unified Extensible Firmware Interface Bootkit hay UEFI-B) có tên là "BlackLotus".

Gia tăng tấn công mạng xoay quanh xung đột quân sự giữa Nga và Ukraine

09:00 | 13/07/2023

Trong bối cảnh xung đột quân sự leo thang giữa Nga và Ukraine, trên mặt trận không gian mạng đã xuất hiện nhiều hơn các chiến dịch tấn công mạng được thực hiện bởi các nhóm tin tặc được nhà nước hậu thuẫn và có quan điểm động cơ chính trị rõ ràng. Thông điệp đằng sau các sự cố mạng đều được các nhóm tin tặc thông báo và cho biết mục tiêu tấn công cụ thể của chúng. Các cuộc tấn công cho thấy sự gia tăng đáng báo động liên quan đến xung đột tại Ukraine hiện nay.

Ukraine tấn công mạng và làm rò rỉ dữ liệu cơ quan hàng không của Nga

14:00 | 30/11/2023

Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.

Tin tặc Nga tấn công mạng các nhà cung cấp dịch vụ viễn thông Ukraine

09:00 | 25/10/2023

Nhóm tin tặc Nga do nhà nước bảo trợ với tên gọi là “Sandworm” đã xâm phạm 11 nhà cung cấp dịch vụ viễn thông ở Ukraine trong khoảng thời gian từ tháng 5 đến tháng 9/2023.

Chiến dịch gián điệp mạng sử dụng mã độc RDStealer đánh cắp dữ liệu chia sẻ trên Remote Desktop

10:00 | 10/07/2023

Vừa qua, theo báo cáo từ công ty an ninh mạng Bitderfender (Romani) cho biết, một chiến dịch tấn công gián điệp mạng có chủ đích sử dụng mã độc mới được viết bằng ngôn ngữ lập trình Golang có tên là “RDStealer” đã được các tin tặc thực hiện nhằm đánh cắp dữ liệu từ các ổ đĩa được chia sẻ thông qua ứng dụng kết nối từ xa Remote Desktop Protocol (RDP).

Phân tích LitterDrifter: Worm độc hại được tin tặc Nga sử dụng trong các cuộc tấn công gián điệp mạng nhắm vào Ukraine

14:00 | 23/11/2023

Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.

Tin cùng chuyên mục

Tin tặc Mustang Panda nhắm mục tiêu vào các quốc gia châu Á với biến thể mới của PlugX

09:00 | 06/03/2024

Tác nhân đe dọa liên quan đến Trung Quốc có tên là Mustang Panda đã nhắm mục tiêu vào nhiều quốc gia châu Á bằng cách sử dụng một biến thể mới của backdoor PlugX có tên là DOPLUGS.

Tin tặc Trung Quốc phân phối mã độc NSPX30 thông qua các bản cập nhật phần mềm

09:00 | 05/02/2024

Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.

Google Chrome phát hành bản vá để khắc phục lỗ hổng zero-day

15:00 | 19/01/2024

Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.

Chiến dịch gián điệp mạng Sea Turtle nhắm mục tiêu vào các công ty của Hà Lan

13:00 | 17/01/2024

Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).