Chiến dịch spam được Trend Micro phát hiện trong quá trình điều tra các cuộc tấn công ở Trung Đông, với việc phân phối phần mềm độc hại SQUIRRELWAFFLE chưa được biết đến trước đó. Theo quan sát của Cisco Talos, các cuộc tấn công bắt đầu vào giữa tháng 9/2021 thông qua việc phát tán các tài liệu Microsoft Office độc hại.
Các nhà nghiên cứu Mohamed Fahmy, Sherif Magdy, Abdelrhman Sharshar cho biết: “Việc phát tán phần mềm độc hại bắt đầu bằng việc gửi các email có tài liệu Microsoft Office đính kèm sử dụng kỹ thuật lừa đảo email reply-chain. Reply-chain đề cập đến việc sử dụng nội dung email đã bị đánh cắp trước đó để đưa ra nội dung trả lời phù hợp nhằm đánh lừa người dùng. Để thực hiện được điều này, chúng tôi tin rằng nó liên quan đến việc sử dụng một chuỗi khai thác ProxyLogon và ProxyShell".
ProxyLogon và ProxyShell là một tập hợp các lỗ hổng trong máy chủ Microsoft Exchange có thể cho phép kẻ tấn công nâng cao đặc quyền và thực thi từ xa mã tùy ý, thậm chí kiểm soát hoàn toàn hệ thống. Cả hai lỗ hổng ProxyLogon và ProxyShell đã được Microsoft vá trong các bản vá tháng 3, tháng 5 và tháng 7.
Trend Micro phát hiện các cuộc tấn công thực tế sử dụng các lỗ hổng CVE-2021-26855 (ProxyLogon), CVE-2021-34473 và CVE-2021-34523 (ProxyShell) nhắm vào máy chủ Exchange nhằm đánh cắp các email hợp pháp và gửi các email trả lời độc hại với nội dung phù hợp với các email bị đánh cắp trước đó để tăng mức độ tin tưởng.
Các nhà nghiên cứu cho biết: "Việc gửi thư rác sử dụng kỹ thuật reply-chain sẽ làm giảm khả năng phát hiện cũng như ngăn chặn tấn công vì hệ thống bảo vệ sẽ không thể lọc hoặc tách biệt các email nội bộ". Ngoài việc sử dụng kỹ thuật này, kẻ tấn công không thực hiện bất kỳ hoạt động độc hại nào khác như cài đặt phần mềm độc hại để tránh khỏi sự phát hiện của các phần mềm bảo mật.
Chuỗi tấn công liên quan đến các email giả mạo có chứa một liên kết mà khi được nhấp vào, tệp Microsoft Excel hoặc Word sẽ tự động tải về máy của nạn nhân. Khi tệp này được mở, người dùng sẽ nhận được lời nhắc bật macro, khi đó quá trình tải xuống và thực thi trình tải phần mềm độc hại SQUIRRELWAFFLE được thực hiện. Mục đích cuối cùng là triển khai các mã độc hại như Cobalt Strike và Qbot.
Theo các chuyên gia, chiến dịch SQUIRRELWAFFLE như một lời cảnh báo tới người dùng trước các kỹ thuật tấn công ngày càng tinh vi của tin tặc. Ngoài việc nhận email từ một địa chỉ đáng tin cậy, việc xem xét các liên kết hoặc tệp tính kèm trong email là rất quan trọng.
Phong Thu
Tổng hợp
11:00 | 07/05/2021
15:00 | 29/12/2021
11:00 | 14/04/2021
09:00 | 06/09/2023
Trong những năm gần đây, các nhóm tin tặc đã phát triển nhanh chóng, tấn công các tổ chức/doanh nghiệp và hàng triệu người dùng trên khắp thế giới. Bài viết dưới đây sẽ thông tin tới độc giả những nhóm tin tặc nguy hiểm nhất năm 2023 theo đánh giá của các chuyên gia.
09:00 | 08/08/2023
Các chuyên gia an ninh mạng tại nhóm bảo mật MalwareHunterTeam gần đây đã phát hiện hoạt động mới của mã độc tống tiền Abyss Locker, được thiết kế nhằm phát triển bộ mã hóa Linux để nhắm mục tiêu đến nền tảng máy ảo ESXi của VMware trong các cuộc tấn công vào doanh nghiệp.
14:00 | 24/07/2023
Công ty an ninh mạng Guardz (Israel) đã xác nhận sự tồn tại của một chương trình đánh cắp thông tin mới trên dark web, được gọi là phần mềm độc hại ShadowVault, có khả năng đánh cắp dữ liệu nhạy cảm từ các thiết bị chạy macOS, gây ra mối đe dọa đáng kể cho các doanh nghiệp cũng như cá nhân.
16:00 | 21/07/2023
Các nhà nghiên cứu thuộc nhóm tình báo Talos của Cisco đã phát hiện một số chiến dịch tấn công mạng gần đây nhắm vào các tổ chức chính phủ, quân sự và dân sự tại Ukraine và Ba Lan để thực hiện đánh cắp thông tin dữ liệu nhạy cảm để giành quyền truy cập từ xa vào các hệ thống bị lây nhiễm.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
FortiGuard Labs mới đây vừa công bố Báo cáo toàn cảnh các mối đe dọa an ninh mạng toàn cầu trong nửa đầu năm 2023. Đáng chú ý, các nhà nghiên cứu đã quan sát thấy sự sụt giảm đáng kể số lượng các tổ chức phát hiện phần mềm tống tiền. Điều đó cho thấy tấn công bằng mã độc tống tiền ngày càng tinh vi hơn, khó phát hiện hơn, trong khi tần suất và tác động của các cuộc tấn công có chủ đích vẫn tiếp tục gia tăng.
18:00 | 22/09/2023
