Một nhóm tin tặc, đang được Microsoft theo dõi dưới cái tên DEV-0569, đã bị phát hiện đang sử dụng Google Ads để phát tán các phần mềm độc hại, bao gồm ransomware Royal mới được phát hiện vào cuối tháng 10 năm nay.
Nhóm bảo mật [Security Threat Intelligence] của Microsoft cho biết "các cuộc tấn công của DEV-0569 được phát hiện cho thấy sự phát triển liên tục của nhóm tin tặc với sự kết hợp của các kỹ thuật do thám mới, khả năng trốn tránh phòng thủ và nhiều công cụ độc hại khác nhau được sử dụng sau khi xâm nhập".
DEV-0569 dựa vào các quảng cáo độc hại để hướng nạn nhân đến các liên kết tải xuống phần mềm độc hại giả dạng chương trình cài đặt cho các ứng dụng hợp pháp như Adobe Flash Player, AnyDesk, LogMeIn, Microsoft Teams và Zoom.
Phần mềm độc hại được tải xuống có chứa BATLOADER, một công cụ dropper được thiết kế để triển khai các mã độc sử dụng cho giai đoạn tiếp theo sau khi nó được cài đặt.
Phân tích BATLOADER [1] [2] cho thấy khả năng lẩn tránh và duy trì truy cập của nó bên cạnh việc sử dụng SEO poisoning để thu hút người dùng tải xuống phần mềm độc hại từ các trang web do kẻ tấn công kiểm soát.
SEO poisoning là một phương pháp tấn công trong đó tội phạm mạng tạo ra các trang web độc hại và sử dụng các chiến thuật tối ưu hóa công cụ tìm kiếm để làm cho chúng hiển thị nổi bật trong kết quả tìm kiếm của người dùng.
Các liên kết lừa đảo được phát tán thông qua các email rác, trang web giả mạo, nhận xét trên các blog và cả biểu mẫu liên hệ trên trang web của các tổ chức bị nhắm mục tiêu.
DEV-0569 sử dụng các chuỗi lây nhiễm khác nhau để phát tán các loại mã độc như phần mềm đánh cắp thông tin hoặc một công cụ quản lý dùng để duy trì truy cập mạng, cũng có thể được dùng để triển khai ransomware.
Ngoài ra, DEV-0569 còn sử dụng công cụ NSudo để khởi chạy các chương trình với đặc quyền nâng cao và làm suy yếu khả năng phòng thủ bằng cách thêm các giá trị registry được thiết kế để vô hiệu hóa các giải pháp chống vi-rút.
Theo Microsoft, việc sử dụng Google Ads để phát tán BATLOADER một cách có chọn lọc cho thấy sự đa dạng trong các phương pháp tấn công của DEV-0569, cho phép chúng tiếp cận nhiều mục tiêu hơn và phát tán phần mềm độc hại.
Nhóm này còn đóng vai trò là bên môi giới truy cập cho các nhóm ransomware khác cũng như có liên quan đến những kẻ khai thác phần mềm độc hại như Emotet, IcedID, Qakbot.
Microsoft khuyến nghị rằng: “Do các chiến dịch lừa đảo của DEV-0569 lạm dụng các dịch vụ hợp pháp, các tổ chức cũng có thể thiết lập các quy tắc mail để chặn bắt các thư chứa các từ khóa đáng ngờ hoặc triển khai các danh sách chặn/cho phép dựa trên dải IP và tên miền”.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Meta Platforms đã sa thải hoặc kỷ luật hơn hai chục nhân viên trong năm qua vì đã xâm phạm và chiếm đoạt tài khoản người dùng. Một số trường hợp liên quan đến việc nhận hối lộ.
Tín nhiệm mạng | Nhiều lỗ hổng bảo mật mức cao đã được phát hiện và báo cáo trong các thiết bị F5 BIG-IP và BIG-IQ, nếu khai thác thành công có thể làm tổn hại hoàn toàn đến các hệ thống bị ảnh hưởng.
Tín nhiệm mạng | Google đã thông báo sẽ bắt đầu triển khai thử nghiệm hệ thống Privacy Sandbox trên thiết bị Android 13 từ đầu năm 2023.
Tín nhiệm mạng | Hàng trăm cơ sở dữ liệu trên Amazon Relational Database Service đang tiết lộ thông tin định danh cá nhân (PII) của người dùng.
Tín nhiệm mạng | Các nhà nghiên cứu bảo mật đã tiết lộ chi tiết về các lỗ hổng hiện đã được vá trong Zendesk Explore, có thể cho phép kẻ tấn công khai thác để truy cập trái phép vào thông tin nhạy cảm của người dùng.
Tín nhiệm mạng | Ứng dụng Backstage của Spotify đã được báo cáo là tồn tại một lỗ hổng bảo mật nghiêm trọng có thể bị khai thác để thực thi mã từ xa bằng cách lạm dụng một lỗ hổng được tiết lộ gần đây trong một mô-đun của bên thứ ba.
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
