Biến thể mới có tên RustyBuer, được phát tán qua email giả mạo thông báo giao hàng của bộ phận Hỗ trợ DHL (công ty vận chuyển hàng hóa của Đức). Biến thể này đã ảnh hưởng đến hơn 200 tổ chức từ đầu tháng 4/2021.
Mã độc Buer được biết đến lần đầu vào tháng 8/2019, là một dạng dịch vụ mã độc theo mô-đun và được rao bán trên các diễn đàn ngầm.
Theo đó, tin tặc lừa người dùng tải file có chứa mã độc qua email, sau đó phát tán thêm các payload, tạo điều kiện bước đầu xâm nhập vào các hệ thống mục tiêu của Windows và cho phép kẻ tấn công thiết lập vị trí đổ bộ để thực hiện hành vi độc hại tiếp sau đó.
Phân tích của Proofpoint vào tháng 12/2019 đã mô tả Buer là mã độc được mã hóa hoàn toàn bằng ngôn ngữ C, sử dụng ứng dụng bảng điều khiển viết bằng .NET Core.
Tháng 12/2020, kẻ đứng sau mã độc tống tiền Ryuk bị phát hiện sử dụng trình thả mã độc Buer làm phương tiện xâm nhập ban đầu trong một chiến dịch spam. Sau đó, một cuộc tấn công phishing lừa người dùng mở email có chủ đề về hóa đơn đính kèm tài liệu Microsoft Excel chứa macro độc hại được tiết lộ tháng 02/2021. Trình thả mã độc Buer sau khi được tải về sẽ được thực thi trên hệ thống bị nhiễm.
Cùng với đó, chiến dịch maldoc mới đây đã phân phối trình nạp mã độc sử dụng mô hình tương tự, bằng cách gửi các email có chủ đề về DHL để phát tán các tài liệu Word và Excel đã được mã hóa, qua đó tin tặc sẽ thả biến thể RustyBuer. Biến thể này không sử dụng ngôn ngữ lập trình C thường thấy mà dùng Rust, cho thấy tin tặc luôn tìm cách để nâng cấp cho các mã độc để tránh bị các phần mềm diệt virus phát hiện.
Vì Buer là bước đệm để phát tán các loại mã độc khác (bao gồm cả Cobalt Strike và chuỗi ransomware) nên các nhà nghiên cứu nhận định tin tặc có thể sử dụng biến thể này để chiếm vị trí trong mạng mục tiêu và bán quyền truy cập.
M.H
13:00 | 08/04/2021
13:00 | 29/05/2023
08:00 | 18/03/2021
14:00 | 01/03/2021
09:00 | 02/04/2024
Một chiến dịch phần mềm độc hại trên quy mô lớn có tên Sign1 đã xâm phạm hơn 39.000 trang web WordPress trong 6 tháng qua, sử dụng cách thức chèn mã JavaScript độc hại để chuyển hướng người dùng đến các trang web lừa đảo.
09:00 | 05/02/2024
Mới đây, công ty an ninh mạng ESET (Slovakia) báo cáo về việc một nhóm tin tặc gián điệp mạng của Trung Quốc đã thực hiện các chiến dịch tấn công mạng nhắm vào các cá nhân, tổ chức ở Trung Quốc và Nhật Bản. Bằng cách lợi dụng các lỗ hổng phần mềm để thao túng các bản cập nhật, các tin tặc đã phát tán mã độc và xâm phạm dữ liệu người dùng, đồng thời tạo các backdoor cho các cuộc tấn công trong tương lai.
08:00 | 11/01/2024
Các nhà nghiên cứu bảo mật từ Đại học Ruhr Bochum (Đức) phát hiện ra một lỗ hổng trong giao thức mạng mật mã Secure Shell (SSH) có thể cho phép kẻ tấn công hạ cấp bảo mật của kết nối bằng cách phá vỡ tính toàn vẹn của kênh an toàn.
14:00 | 30/11/2023
Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024