Công ty an ninh mạng Kaspersky của Nga cho biết, các cuộc tấn công này do một nhóm có tên WIRTE, liên quan đến kiểu tấn công sử dụng Microsoft Excel dropper. Nhóm này sử dụng bảng tính ẩn và Macro VBA để tải về Visual Basic Script (VBS) với chức năng thu thập thông tin hệ thống và thực thi mã tùy ý trên máy bị nhiễm mã độc.
Qua các phân tích về chiến dịch cũng như bộ công cụ và phương pháp mà kẻ tấn công sử dụng, các nhà nghiên cứu kết luận rằng nhóm WIRTE có mối liên hệ với tổ chức gián điệp mạng Gaza Cybergang hoạt động ở Trung Đông và Trung Á. Các mục tiêu bị nhắm đến trải rộng trên Armenia, Cyprus, Ai Cập, Jordan, Lebanon, Palestine, Syria và Thổ Nhĩ Kỳ.
Nhà nghiên cứu Maher Yamout của Kaspersky cho biết: “WIRTE sử dụng các giao thức truyền văn bản (Text transfer protocol - TTP) đơn giản và khá phổ biến cho phép chúng không bị phát hiện trong một thời gian dài. Các phương pháp đơn giản nhưng dễ lừa các nạn nhân mắc bẫy".
Theo Kaspersky, việc giả mạo các tài liệu Microsoft Office để triển khai VBS có khả năng được gửi thông qua các email lừa đảo có chủ đích liên quan đến Palestine và các chủ đề thịnh hành khác phù hợp với các nạn nhân được nhắm mục tiêu.
Excel dropper được lập trình để thực thi các macro độc hại, sau đó tải xuống và cài đặt mã độc Ferocious trên thiết bị của người nhận, trong khi Word dropper sử dụng các macro VBA để tải xuống phần mềm đó. Ferocious dropper sử dụng một kỹ thuật được gọi là COM hijacking để thực thi tập lệnh PowerShell có tên là LitePower.
LitePower hoạt động như trình tải xuống và truyền tin kết nối với các máy chủ điều khiển và chỉ huy từ xa đặt tại Ukraine và Estoni. Sau đó chờ các lệnh khác có thể dẫn đến việc triển khai phần mềm độc hại bổ sung trên các hệ thống bị xâm phạm.
Yamout cho biết: "WIRTE đã sửa đổi bộ công cụ và cách hoạt động của chúng để có thể hoạt động lén lút trong một thời gian dài. Việc sử dụng phần mềm độc hại bằng ngôn ngữ thông dịch như tập lệnh VBS và PowerShell nhằm tăng thêm tính linh hoạt để cập nhật bộ công cụ của chúng và tránh bị phát hiện".
Phương Thanh (Theo The Hacker News)
13:00 | 18/11/2021
10:00 | 07/11/2023
09:00 | 16/11/2021
09:00 | 23/11/2021
15:00 | 10/01/2025
Theo Trung tâm Giám sát an toàn không gian mạng quốc gia (NCSC), gần đây, các chuyên gia bảo mật đã ghi nhận một chiến dịch tấn công nhằm vào các tiện ích mở rộng trên trình duyệt Google Chrome, dẫn tới việc ít nhất 16 tiện ích đã bị ảnh hưởng....
12:00 | 23/12/2024
Mỹ tuyên bố thưởng 10 triệu USD cho người cung cấp thông tin về tin tặc Trung Quốc bị cáo buộc tấn công 81.000 thiết bị tường lửa.
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
15:00 | 27/11/2024
Starbucks đang phải đối mặt với hậu quả của một cuộc tấn công sử dụng ransomware nhắm vào nhà cung cấp phần mềm cho thương hiệu này, khiến việc chấm công tại các cửa hàng phải chuyển qua phương pháp thủ công.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025