Theo phân tích của Kaspersky, Head Mare sử dụng các phương pháp tấn công tinh vi. Điển hình là việc khai thác lỗ hổng CVE-2023-38831 trong WinRAR. Lỗ hổng này cho phép tin tặc thực thi mã độc trên hệ thống của nạn nhân thông qua một tệp nén được chuẩn bị đặc biệt.
Hoạt động từ năm 2023, Head Mare được cho là có liên quan đến xung đột Nga-Ukraine. Nhóm này không chỉ tấn công để gây thiệt hại mà còn sử dụng ransomware LockBit và Babuk để mã hóa dữ liệu và đòi tiền chuộc. Các mục tiêu của chúng bao gồm các tổ chức chính phủ, giao thông, năng lượng, sản xuất và môi trường.
Không giống như các nhóm tin tặc khác có khả năng hoạt động với mục đích gây ra "thiệt hại tối đa" cho các công ty ở hai quốc gia, Head Mare cũng mã hóa các thiết bị của nạn nhân bằng LockBit cho Windows và Babuk cho Linux (ESXi) và yêu cầu tiền chuộc để giải mã dữ liệu.
Ngoài ra, Head Mare còn sử dụng các công cụ độc hại tự phát triển như PhantomDL và PhantomCore để kiểm soát hệ thống nạn nhân từ xa, tải lên và tải xuống dữ liệu, cũng như thực thi các lệnh tùy ý. Chúng còn sử dụng các kỹ thuật tinh vi để che giấu hoạt động, như giả mạo các tác vụ cập nhật của Microsoft và đặt tên các tệp độc hại giống như các ứng dụng phổ biến.
Các cuộc tấn công thường bắt đầu bằng email lừa đảo (phishing) chứa tài liệu có phần mở rộng kép, chẳng hạn như [.]pdf, [.]exe. Khi nạn nhân mở tệp đính kèm, mã độc sẽ được thực thi, cho phép tin tặc xâm nhập vào hệ thống.
Mặc dù sử dụng các chiến thuật tương tự các nhóm tin tặc khác hoạt động trong khu vực, Head Mare nổi bật với việc sử dụng phần mềm độc hại tùy chỉnh và khai thác các lỗ hổng mới.
Phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật phần mềm thường xuyên và cảnh giác với các email lừa đảo. Các chuyên gia khuyến cáo, người dùng và các tổ chức nên thận trọng khi mở các tệp đính kèm từ các nguồn không tin cậy và nên sử dụng các phần mềm bảo mật cập nhật để phát hiện và ngăn chặn các mối đe dọa.
Phong Thu
21:00 | 29/08/2024
14:00 | 30/07/2024
14:00 | 06/08/2024
14:00 | 17/09/2024
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
14:00 | 11/09/2024
Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.
16:00 | 20/06/2024
Một cuộc kiểm tra bảo mật mở rộng đối với QNAP QTS - hệ điều hành dành cho các sản phẩm NAS đã phát hiện 15 lỗ hổng với các mức độ nghiêm trọng khác nhau, trong đó có 11 lỗ hổng vẫn chưa được vá.
10:00 | 27/05/2024
Nhóm nghiên cứu mối đe dọa Capture Labs của hãng bảo mật SonicWall (Mỹ) đã phát hiện một chiến dịch đánh cắp thông tin đăng nhập nhắm đến người dùng Android bằng cách phân phối ứng dụng độc hại giả mạo các nền tảng như Google, Instagram, Snapchat, WhatsApp và X (trước đây là Twitter).
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
14:00 | 17/09/2024