Một chiến dịch mã độc mới được phát hiện đã lợi dụng các log sự kiện (event logs) của Windows để lưu trữ các đoạn shellcode độc hại.
Nhà nghiên cứu Denis Legezo của Kaspersky cho biết “điều này cho phép ẩn dấu các thành phần trojan trong hệ thống tệp”. "Mã độc này không có điểm tương đồng với các phần mềm độc hại đã biết."
Quá trình lây nhiễm được cho là bắt đầu vào tháng 9 năm 2021, khi các mục tiêu bị lừa tải xuống các tệp nén .RAR có chứa Cobalt Strike và Silent Break.
Sau đó, các mô-đun độc hại được sử dụng như một công cụ để chèn mã vào các tiến trình hệ thống Windows hoặc các ứng dụng đáng tin cậy. Bộ công cụ này cũng sử dụng các lớp vỏ bọc để tránh bị phát hiện.
Một trong những phương pháp quan trọng là giữ cho shellcode chứa phần mềm độc hại [được sử dụng ở giai đoạn tiếp theo] được mã hóa theo các đoạn 8KB trong event logs, đây là kỹ thuật chưa từng biết đến trong các cuộc tấn công trước đó, sau đó được kết hợp lại và thực thi.
Payload cuối cùng thu được là một tập các trojan cho phép thực thi các lệnh tùy ý, tải xuống tệp từ URL, leo thang đặc quyền và thu thập thông tin screenshots.
Một phương pháp khác của kẻ tấn công là sử dụng thông tin thu thập trong quá trình do thám ban đầu để triển khai các giai đoạn sau của chuỗi tấn công, bao gồm việc giả mạo các phần mềm hợp pháp mà nạn nhân sử dụng.
Tiết lộ được đưa ra khi các nhà nghiên cứu của Sysdig đã chứng minh được cách để xâm phạm thành phần ‘containers read-only’ bằng mã độc này khi nó được thực thi trong bộ nhớ bằng cách lạm dụng một lỗ hổng nghiêm trọng trong máy chủ Redis.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Google đã phát hành bản vá bảo mật tháng này cho Android để khắc phục 37 lỗ hổng, trong đó bao gồm bản vá cho lỗ hổng Linux kernel đã bị khai thác trong thực tế vào đầu năm nay.
Tín nhiệm mạng | Google lên kế hoạch triển khai hỗ trợ đăng nhập không cần mật khẩu trong Android và trình duyệt Chrome, cho phép người dùng đăng nhập liền mạch và an toàn giữa các thiết bị và trang web khác nhau
Tín nhiệm mạng | F5 phát hành các bản vá cho 43 lỗ hổng, nghiêm trọng nhất trong số đó là CVE-2022-1388, lỗ hổng cho phép kẻ tấn công truy cập trái phép và kiểm soát hệ thống bị ảnh hưởng mà không cần xác thực.
Tín nhiệm mạng | Một lỗ hổng cho phép thực thi mã từ xa mà không cần xác thực đã được phát hiện trong dotCMS-hệ thống quản lý nội dung mã nguồn mở với hơn 10.000 khách hàng sử dụng trên toàn cầu
Tín nhiệm mạng | Google đã phát hành phiên bản xem trước của Privacy Sandbox trên Android 13, cung cấp API Topics và SDK Runtime để tăng cường bảo mật cho người dùng trực tuyến.
Tín nhiệm mạng | Google bắt đầu triển khai tính năng "An toàn dữ liệu" (data safety) mới cho các ứng dụng Android trên Cửa hàng Play để làm nổi bật loại dữ liệu đang được thu thập và chia sẻ với bên thứ ba.