Công ty an ninh mạng Kaspersky của Nga cho biết, các cuộc tấn công này do một nhóm có tên WIRTE, liên quan đến kiểu tấn công sử dụng Microsoft Excel dropper. Nhóm này sử dụng bảng tính ẩn và Macro VBA để tải về Visual Basic Script (VBS) với chức năng thu thập thông tin hệ thống và thực thi mã tùy ý trên máy bị nhiễm mã độc.
Qua các phân tích về chiến dịch cũng như bộ công cụ và phương pháp mà kẻ tấn công sử dụng, các nhà nghiên cứu kết luận rằng nhóm WIRTE có mối liên hệ với tổ chức gián điệp mạng Gaza Cybergang hoạt động ở Trung Đông và Trung Á. Các mục tiêu bị nhắm đến trải rộng trên Armenia, Cyprus, Ai Cập, Jordan, Lebanon, Palestine, Syria và Thổ Nhĩ Kỳ.
Nhà nghiên cứu Maher Yamout của Kaspersky cho biết: “WIRTE sử dụng các giao thức truyền văn bản (Text transfer protocol - TTP) đơn giản và khá phổ biến cho phép chúng không bị phát hiện trong một thời gian dài. Các phương pháp đơn giản nhưng dễ lừa các nạn nhân mắc bẫy".
Theo Kaspersky, việc giả mạo các tài liệu Microsoft Office để triển khai VBS có khả năng được gửi thông qua các email lừa đảo có chủ đích liên quan đến Palestine và các chủ đề thịnh hành khác phù hợp với các nạn nhân được nhắm mục tiêu.
Excel dropper được lập trình để thực thi các macro độc hại, sau đó tải xuống và cài đặt mã độc Ferocious trên thiết bị của người nhận, trong khi Word dropper sử dụng các macro VBA để tải xuống phần mềm đó. Ferocious dropper sử dụng một kỹ thuật được gọi là COM hijacking để thực thi tập lệnh PowerShell có tên là LitePower.
LitePower hoạt động như trình tải xuống và truyền tin kết nối với các máy chủ điều khiển và chỉ huy từ xa đặt tại Ukraine và Estoni. Sau đó chờ các lệnh khác có thể dẫn đến việc triển khai phần mềm độc hại bổ sung trên các hệ thống bị xâm phạm.
Yamout cho biết: "WIRTE đã sửa đổi bộ công cụ và cách hoạt động của chúng để có thể hoạt động lén lút trong một thời gian dài. Việc sử dụng phần mềm độc hại bằng ngôn ngữ thông dịch như tập lệnh VBS và PowerShell nhằm tăng thêm tính linh hoạt để cập nhật bộ công cụ của chúng và tránh bị phát hiện".
Phương Thanh (Theo The Hacker News)
13:00 | 18/11/2021
10:00 | 07/11/2023
09:00 | 16/11/2021
09:00 | 23/11/2021
09:00 | 13/02/2024
Các nhà nghiên cứu tới từ công ty an ninh mạng Guardio (Mỹ) tiết lộ một lỗ hổng bảo mật trong trình duyệt web Opera dành cho Microsoft Windows và Apple macOS có thể bị khai thác để thực thi tệp tùy ý trên hai hệ điều hành này.
14:00 | 16/01/2024
Các tài khoản X (Twitter) chính thức của Netgear và Hyundai MEA (có hơn 160.000 người theo dõi) là những tài khoản nổi tiếng mới nhất bị tin tặc tấn công để phát tán lừa đảo, nhằm lây nhiễm phần mềm độc hại, chiếm đoạt tiền điện tử của các nạn nhân.
07:00 | 15/01/2024
Pegasus được đánh giá là một trong những phần mềm gián điệp mạnh mẽ nhất hiện nay, chúng có các chức năng đánh cắp dữ liệu toàn diện hơn rất nhiều so với các phần mềm gián điệp khác, với khả năng thu thập thông tin mọi thứ từ dữ liệu có giá trị cao như mật khẩu, danh bạ và các dữ liệu từ các ứng dụng khác. Trong bài báo này, tác giả sẽ giới thiệu tổng quan về mã độc Pegasus và biến thể Chrysaor cùng các phương thức tấn công và cách phòng chống mã độc nguy hiểm này.
07:00 | 27/12/2023
Các nhà nghiên cứu tại Công ty công nghệ an ninh mạng Cisco Talos (Mỹ) mới đây đã phát hiện ra chiến dịch Operation Blacksmith do nhóm tin tặc Lazarus khét tiếng của Triều Tiên thực hiện, sử dụng ba họ phần mềm độc hại dựa trên ngôn ngữ lập trình DLang, bao gồm trojan truy cập từ xa (RAT) có tên là NineRAT tận dụng Telegram để ra lệnh và kiểm soát (C2), DLRAT và trình tải xuống có tên là BottomLoader.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024