🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Bệnh viện Đa khoa huyện Mê Linh đã đăng ký tín nhiệm. 🔥                    🔥 UBND huyện Hoài Đức, Hà Nội đã đăng ký tín nhiệm. 🔥                    🔥 UBND xã Kim Sơn, thị xã Sơn Tây, Hà Nội đã đăng ký tín nhiệm. 🔥                   

Microsoft cảnh báo tin tặc đang sử dụng Google Ads để phát tán Royal Ransomware

24/11/2022

Một nhóm tin tặc, đang được Microsoft theo dõi dưới cái tên DEV-0569, đã bị phát hiện đang sử dụng Google Ads để phát tán các phần mềm độc hại, bao gồm ransomware Royal mới được phát hiện vào cuối tháng 10 năm nay.

Nhóm bảo mật [Security Threat Intelligence] của Microsoft cho biết "các cuộc tấn công của DEV-0569 được phát hiện cho thấy sự phát triển liên tục của nhóm tin tặc với sự kết hợp của các kỹ thuật do thám mới, khả năng trốn tránh phòng thủ và nhiều công cụ độc hại khác nhau được sử dụng sau khi xâm nhập".

DEV-0569 dựa vào các quảng cáo độc hại để hướng nạn nhân đến các liên kết tải xuống phần mềm độc hại giả dạng chương trình cài đặt cho các ứng dụng hợp pháp như Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams và Zoom.

Phần mềm độc hại được tải xuống có chứa BATLOADER, một công cụ dropper được thiết kế để triển khai các mã độc sử dụng cho giai đoạn tiếp theo sau khi nó được cài đặt.

Phân tích BATLOADER [1] [2] cho thấy khả năng lẩn tránh và duy trì truy cập của nó bên cạnh việc sử dụng SEO poisoning để thu hút người dùng tải xuống phần mềm độc hại từ các trang web do kẻ tấn công kiểm soát.

SEO poisoning là một phương pháp tấn công trong đó tội phạm mạng tạo ra các trang web độc hại và sử dụng các chiến thuật tối ưu hóa công cụ tìm kiếm để làm cho chúng hiển thị nổi bật trong kết quả tìm kiếm của người dùng.

Các liên kết lừa đảo được phát tán thông qua các email rác, trang web giả mạo, nhận xét trên các blog và cả biểu mẫu liên hệ trên trang web của các tổ chức bị nhắm mục tiêu.

DEV-0569 sử dụng các chuỗi lây nhiễm khác nhau để phát tán các loại mã độc như phần mềm đánh cắp thông tin hoặc một công cụ quản lý dùng để duy trì truy cập mạng, cũng có thể được dùng để triển khai ransomware.

Ngoài ra, DEV-0569 còn sử dụng công cụ NSudo để khởi chạy các chương trình với đặc quyền nâng cao và làm suy yếu khả năng phòng thủ bằng cách thêm các giá trị registry được thiết kế để vô hiệu hóa các giải pháp chống vi-rút.

Theo Microsoft, việc sử dụng Google Ads để phát tán BATLOADER một cách có chọn lọc cho thấy sự đa dạng trong các phương pháp tấn công của DEV-0569, cho phép chúng tiếp cận nhiều mục tiêu hơn và phát tán phần mềm độc hại.

Nhóm này còn đóng vai trò là bên môi giới truy cập cho các nhóm ransomware khác cũng như có liên quan đến những kẻ khai thác phần mềm độc hại như EmotetIcedIDQakbot.

Microsoft khuyến nghị rằng: “Do các chiến dịch lừa đảo của DEV-0569 lạm dụng các dịch vụ hợp pháp, các tổ chức cũng có thể thiết lập các quy tắc mail để chặn bắt các thư chứa các từ khóa đáng ngờ hoặc triển khai các danh sách chặn/cho phép dựa trên dải IP và tên miền”.

Nguồn: thehackernews.com.

scrolltop