Chiến dịch tấn công này có liên quan tới nhóm tin tặc DarkHydrus. Đây là nhóm tin tặc chuyên thực hiện các cuộc tấn công có chủ đích (Advanced Persistent Threat - APT), lợi dụng công cụ mã nguồn mở Phishery để thu thập thông tin chống lại các tổ chức chính phủ và giáo dục tại Trung Đông vào tháng 8/2018.
Vì đa số các công cụ bảo mật hoạt động bằng cách theo dõi lưu lượng mạng để phát hiện các địa chỉ IP độc hại, nên tin tặc đang hướng tới việc lợi dụng cơ sở hạ tầng của các dịch vụ hợp pháp trong các cuộc tấn công mạng. Trong chiến dịch tấn công này, tin tặc sử dụng một biến thể mới có tên Trojan RogueRobin để lây nhiễm vào máy tính của nạn nhân, bằng cách lừa người dùng mở một tệp tin Microsoft Excel đã nhúng macro VBA (Visual Basic for Applications) độc hại. Khi người dùng kích hoạt macro, một tệp văn bản .txt độc hại sẽ được lưu trong thư mục tạm thời và lợi dụng ứng dụng personas.exe để tự khởi chạy. Cuối cùng, Trojan RogueRobin được cài đặt vào máy tính của nạn nhân.
Trojan RogueRobin bao gồm nhiều chức năng như: ẩn mình; phát hiện sandbox; kiểm tra môi trường ảo hóa, bộ nhớ, số lượng bộ xử lý; phát hiện các công cụ phân tích phổ biến được chạy trên hệ thống; phát hiện anti-debug....
Giống phiên bản gốc, biến thể mới của RogueRobin cũng sử dụng DNS tunneling - một kỹ thuật gửi hoặc truy xuất dữ liệu và lệnh thông qua các gói truy vấn DNS để giao tiếp với máy chủ C&C. Ngoài ra, mã độc này còn đặt API Google Drive là kênh thay thế để gửi dữ liệu và nhận lệnh từ tin tặc.
Các chuyên gia nhận định, chiến dịch này cho thấy các nhóm tin tặc đang chuyển hướng nhiều hơn sang việc lợi dụng các dịch vụ hợp pháp làm cơ sở hạ tầng C&C một cách tinh vi để tránh bị phát hiện.
Cách tốt nhất để bảo vệ người dùng khỏi các cuộc tấn công này là luôn cảnh giác trước bất kỳ tài liệu lạ, chưa rõ nguồn gốc được gửi qua email. Đồng thời, không truy cập vào các liên kết trong tài liệu khi chưa xác minh được nguồn gửi.
ĐT
Theo WorldStar
16:00 | 24/09/2018
11:00 | 19/02/2019
09:00 | 31/05/2018
14:00 | 16/01/2024
23:00 | 03/03/2019
08:00 | 29/03/2019
10:00 | 28/03/2024
16:00 | 13/02/2019
09:54 | 07/08/2017
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024
