Tin tặc Nga sử dụng DropBox và Google Drive để lây nhiễm mã độc

13:00 | 02/08/2022 | HACKER / MALWARE

Nhóm tin tặc APT29 được cho là có liên quan đến Cơ quan Tình báo Đối ngoại Liên bang Nga (SVR) đã tiến hành một chiến dịch lừa đảo lợi dụng các dịch vụ đám mây hợp pháp như Google Drive và Dropbox để lây nhiễm mã độc trên các hệ thống mục tiêu.

Theo công ty an ninh mạng Palo Alto Networks (Mỹ), chiến dịch này nhắm vào một số cơ quan ngoại giao phương Tây trong khoảng thời gian từ tháng 5 đến tháng 6/2022, bao gồm cả đại sứ quán nước ngoài ở Bồ Đào Nha và Brazil.

Tin tặc đã gửi những email độc hại mô phỏng nội dung liên quan đến các cuộc họp với các đại sứ. Nhưng trên thực tế, mục đích là lây nhiễm các tệp độc hại vào hệ thống mạng được nhắm mục tiêu thông qua những email này.

APT29 còn được biết đến với các tên gọi như Nobelium, Cozy Bear, Cloaked Ursa hay The Dukes, là một nhóm gián điệp mạng có tổ chức hoạt động từ năm 2014, với nhiệm vụ thu thập thông tin tình báo phù hợp với các mục tiêu chiến lược của Nga. Nhóm này cũng được xác định là có liên quan đến cuộc tấn công chuỗi cung ứng nổi tiếng SolarWinds vào năm 2020.

Tin tặc Nga sử dụng DropBox và Google Drive để lây nhiễm mã độc

Các giai đoạn của chiến dịch lừa đảo của nhóm APT29

Các vụ xâm nhập gần đây là tiếp nối của các chiến dịch trước, trong đó sử dụng các email lừa đảo trực tuyến để triển khai Cobalt Strike Beacons bằng một tệp đính kèm HTML độc hại, được gọi là EnvyScout (hay ROOTSAW). Điểm khác biệt trong chiến dịch lần này là việc sử dụng các dịch vụ đám mây như Dropbox và Google Drive để tránh bị phát hiện, che giấu hành vi và đưa mã độc hại vào môi trường mục tiêu.

EnvyScout đóng vai trò như một công cụ phụ trợ để lây nhiễm thêm nhiều mục tiêu theo tùy chọn của tin tặc. Trong trường hợp này là một tệp thực thi .NET được che giấu trong nhiều lớp làm rối (obfuscation) và được sử dụng để lọc thông tin hệ thống cũng như thực thi mã nhị phân (binary) giai đoạn tiếp theo, chẳng hạn như Cobalt Strike được tìm nạp từ Google Drive.

Các tin tặc sử dụng EnvyScount để giải mã nội dung của một tệp ISO độc hại, kỹ thuật này được gọi là HTML Smuggling. Cụ thể, tệp Agenda[.]html sẽ chịu trách nhiệm giải mã payload và cũng để ghi tệp ISO độc hại vào ổ cứng của nạn nhân. Sau khi hoàn tất, tệp payload này được lưu với tên gọi là Agenda.iso.

Payload được đóng gói thành tệp ISO độc hại

Khi ISO đã được tải xuống, cần có sự tương tác của người dùng để thực thi mã độc trên hệ thống mục tiêu. Người dùng phải nhấp đúp vào tệp ISO, sau đó chọn vào tệp Information[.]lnk, khi đó chuỗi lây nhiễm mới được bắt đầu. Theo các nhà nghiên cứu của Palo Alto Networks kết luận rằng, việc sử dụng các dịch vụ DropBox hay Google Drive,… là chiến thuật mới của tin tặc và rất khó để bị phát hiện, do tính chất phổ biến của các dịch vụ này với hàng triệu khách hàng sử dụng trên toàn thế giới.

Nhà nghiên cứu bảo mật Wilson Fleming, cựu nhân viên của Palo Alto Networks khuyến nghị các tổ chức nên chọn một dịch vụ duy nhất, thay vì sử dụng các môi trường kết hợp. Ngoài ra, ông cũng khuyên người dùng nên sử dụng phiên bản dành cho doanh nghiệp của các dịch vụ như vậy, vì nó cho phép tổ chức chủ động kiểm soát và giảm thiểu nguy cơ bị tấn công.

Đinh Hồng Đạt

‹ › ×

Tin liên quan

Nhóm tin tặc Gallium tấn công mạng bằng mã độc PingPull

08:00 | 23/06/2022

Nhóm tin tặc Gallium được cho là có nguồn gốc từ Trung Quốc đã sử dụng trái phép trojan truy cập từ xa (RAT) để tấn công gián điệp mạng vào các mục tiêu ở Đông Nam Á, Châu Âu và Châu Phi.

Tại sao tin tặc gia tăng sử dụng Telegram?

13:00 | 24/08/2022

Các nền tảng tin nhắn như Telegram đang cung cấp cơ hội cho tin tặc lưu trữ, phân phối và thực thi đa dạng các chức năng, để đánh cắp thông tin từ những nạn nhân mất cảnh giác. Nhưng đó không chỉ là mục tiêu duy nhất mà tin tặc đã lợi dụng Telegram cho các hoạt động xấu của chúng.

Dịch vụ chữ ký điện tử trên DropBox bị tin tặc xâm nhập đánh cắp dữ liệu

08:00 | 04/05/2024

Công ty lưu trữ đám mây DropBox cho biết tin tặc đã xâm nhập vào hệ thống nền tảng Chữ ký điện tử DropBox Sign và giành được quyền truy cập vào mã thông báo xác thực (Authentication tokens), khóa MFA, mật khẩu băm và thông tin khách hàng.

Tăng cường bảo mật tệp lưu trữ trên Google Drive

10:00 | 28/03/2024

Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.

Cách thức tin tặc sử dụng các ứng dụng nhắn tin để đánh cắp dữ liệu

14:00 | 31/08/2022

Các nhà nghiên cứu tại Công ty an ninh mạng Intel 471 (Hoa Kỳ) cho biết, các tin tặc đã lợi dụng ứng dụng nhắn tin như Telegram và Discord để tiến hành khai thác một chương trình có tên gọi bot, với mục đích phát tán mã độc và đánh cắp dữ liệu nhạy cảm của người dùng.

Tin tặc sử dụng kỹ thuật mới để phát tán phần mềm độc hại Emotet

08:00 | 23/05/2022

Theo nghiên cứu của các chuyên gia từ nhà cung cấp an ninh mạng Proofpoint (California), nhóm tin tặc điều hành mạng botnet Emotet đang thử nghiệm các phương pháp kỹ thuật tấn công và quy trình mới cho các chiến dịch tấn công có chọn lọc và quy mô hạn chế trước khi áp dụng chúng trong các chiến dịch lớn hơn.

Nhóm tin tặc TA428 sử dụng backdoor mới trong các cuộc tấn công có chủ đích

10:00 | 19/08/2022

Các nhà nghiên cứu vừa phát hiện một loạt các cuộc tấn công diễn ra đầu năm nay sử dụng phần mềm độc hại trên Windows mới để giám sát các tổ chức chính phủ trong ngành công nghiệp quốc phòng của một số quốc gia ở Đông Âu.

Cục An toàn thông tin cảnh báo lừa đảo qua nền tảng Dropbox

15:00 | 17/12/2024

Cục An toàn thông tin (Bộ TT&TT) vừa cảnh báo phương thức lừa đảo mới thông qua nền tảng Dropbox nhằm đánh cắp thông tin và dữ liệu từ tài khoản Microsoft của người dùng, phương thức này chủ yếu nhắm tới nhân viên văn phòng.

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Phát hiện phần mềm độc hại mới đánh cắp tài khoản YouTube

14:00 | 19/07/2022

Công ty Intezer (New York) đã phát hiện phần mềm độc hại YTStealer, nhắm mục tiêu duy nhất là đánh cắp thông tin đăng nhập của những người sáng tạo nội dung trên Youtube.

Tin tặc Nga xâm phạm các hệ thống mạng thông tin quan trọng của Pháp

14:00 | 08/11/2023

Theo báo cáo mới được công bố từ Cơ quan An ninh hệ thống thông tin quốc gia Pháp (Agence Nationale de la sécurité des systèmes d'information-ANSSI) điều tra về các hoạt động của nhóm gián điệp mạng cho biết, nhóm tin tặc APT28 của Nga (còn được gọi là Strontium hoặc Fancy Bear) đã nhắm mục tiêu vào các tổ chức chính phủ, doanh nghiệp, trường đại học, viện nghiên cứu và tổ chức nghiên cứu ở Pháp kể từ nửa cuối năm 2021.

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

14:00 | 29/09/2022

Vừa qua, một mã độc tàng hình mới có tên là Shikitega đã được phát hiện thông qua một chuỗi lây nhiễm nhiều giai đoạn với mục tiêu gửi các payload độc hại tới hệ điều hành Linux và các thiết bị IoT. Bài báo này tập trung trình bày về kỹ thuật lây nhiễm của loại mã độc mới trên Linux này.

Mã độc sử dụng kỹ thuật DLL Side-Loading

09:00 | 13/06/2022

DLL Side-Loading là một trong những kỹ thuật của DLL Hijacking được các tin tặc lợi dụng bằng cách thêm vào tính năng cho mã độc nhằm mục đích vượt qua chương trình diệt virus và các công cụ bảo mật của Windows. Bằng cách chiếm đoạt thứ tự tìm kiếm DLL của một ứng dụng hợp pháp, DLL chứa mã độc sẽ được gọi ngay khi ứng dụng đó được mở. Khi đó, mã độc sẽ được kích hoạt một cách hợp pháp trên máy tính nạn nhân. Tin tặc có thể lợi dụng phương pháp này để tiến hành tấn công vào các cơ quan, tổ chức để đánh cắp thông tin, dữ liệu quan trọng. Bài báo đưa ra phương pháp tiêm mã độc vào DLL của một ứng dụng hợp lệ, có chữ ký số của Microsoft.

Tin cùng chuyên mục

Cảnh báo hình thức tấn công mới trong hệ sinh thái Web3

08:00 | 29/01/2025

Một chiến thuật tấn công mới đang được tin tặc sử dụng thông qua cách thức "giả mạo mô phỏng giao dịch" để đánh cắp tiền điện tử, mới đây trên ScamSniffer (trang web chuyên đăng tải các bài báo về phòng, chống lừa đảo mạng) đã công bố một vụ tấn công sử dụng hình thức này gât thiệt hại 143,45 Ethereum (ETH) với trị giá khoảng 460.000 USD.

FICORA và Kaiten Botnet khai thác các lỗ hổng D-Link cũ trong các cuộc tấn công mạng trên toàn cầu

10:00 | 31/12/2024

Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.

Sử dụng tên miền giá rẻ để lừa đảo

09:00 | 27/12/2024

Các tên miền mới như ".shop", ".xyz" đang ngày càng trở nên phổ biến với tội phạm mạng do giá rẻ và quy trình đăng ký đơn giản là cảnh báo được đưa ra trong báo cáo Cybercrime Supply Chain 2024 của Interisle Consulting Group (Mỹ).

Chiến dịch tấn công DDoS botnet mới khai thác các thiết bị IoT trên diện rộng

10:00 | 12/12/2024

Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.