Một chiến dịch lừa đảo email mới đã được phát hiện sử dụng kỹ thuật conversation hijacking (chiếm quyền điều khiển cuộc trò chuyện) để phát tán mã độc đánh cắp thông tin IcedID vào các máy bị nhiễm thông qua các máy chủ Microsoft Exchange chưa được cập nhật bản vá bảo mật.
Công ty Intezer của Israel cho biết: “Kẻ tấn công sử dụng các thông tin thu thập được để gửi thư trả lời thay cho một email bị đánh cắp trước đó nhằm lừa người nhận mở tệp đính kèm. Điều này làm tăng độ tin cậy của email lừa đảo và tăng tỷ lệ tấn công thành công."
Chiến dịch tấn công mới nhất, được phát hiện vào giữa tháng 3 năm 2022, nhằm vào các tổ chức trong lĩnh vực năng lượng, chăm sóc sức khỏe, luật và dược phẩm.
IcedID (hay BokBot), giống với mã độc TrickBot và Emotet, là một banking trojan có khả năng triển khai các phần mềm độc hại khác, bao gồm ransomware và công cụ mô phỏng Cobalt Strike.
Nó có khả năng kết nối với một máy chủ từ xa để tải xuống các thành phần độc hại cho phép kẻ tấn công thực hiện các hoạt động gây hại và khả năng lây lan trong các hệ thống mạng bị ảnh hưởng để phát tán mã độc.
Vào tháng 6 năm 2021, công ty bảo mật Proofpoint đã tiết lộ về một chiến thuật đang phát triển trong giới tội phạm mạng, trong đó những kẻ tấn công đã xâm nhập vào mạng của tổ chức mục tiêu thông qua các mã độc thu thập thông tin như IcedID để triển khai ransomware Egregor, Maze và REvil.
Các chiến dịch IcedID trước đây lợi dụng các biểu mẫu liên hệ trên trang web để gửi các liên kết độc hại đến các tổ chức. Phiên bản hiện tại của trojan này khai thác các máy chủ Microsoft Exchange dễ bị tấn công để gửi các email giả mạo từ một tài khoản bị xâm nhập.
Nhà nghiên cứu Joakim Kennedy và Ryan Robinson cho biết: “Mã độc đã chuyển từ việc sử dụng các tệp Office sang sử dụng tệp ISO”. "Điều này cho phép tin tặc vượt qua các kiểm soát Mark-of-the-Web, dẫn đến việc thực thi mã độc mà không kích hoạt cảnh báo cho người dùng."
Người dùng nên cảnh giác với bất kỳ đường link hoặc tệp đính kèm nào nhận được ngay cả khi nó được gửi từ một nguồn tin cậy bạn đã biết trước. Các tổ chức sử dụng máy chủ Exchange nên rà soát lại toàn bộ hệ thống của mình để chắc chắn các bản vá luôn được cập nhật đầy đủ.
Nguồn: thehackernews.com.
Tín nhiệm mạng | Honda không có kế hoạch cập nhật các loại xe cũ của mình sau khi các nhà nghiên cứu tiết lộ mã khai thác cho CVE-2022-27254, lỗ hổng cho phép tấn công phát lại và chiển quyền điều khiển xe
Tín nhiệm mạng | Google đã phát hành bản cập nhật bảo mật khẩn cấp để khắc phục một lỗ hổng zero-day trong trình duyệt Chrome được cho là đang bị khai thác trong thực tế.
Tín nhiệm mạng | Nền tảng bug bounty HackerOne đã vô hiệu hóa chương trình bug bounty của Kaspersky sau các lệnh trừng phạt áp đặt lên Nga và Belarus sau cuộc xâm lược Ukraine.
Tín nhiệm mạng | HP đã phát hành tư vấn bảo mật cho ba lỗ hổng bảo mật nghiêm trọng và một lỗ hổng mức cao, ảnh hưởng đến hàng trăm loại máy in LaserJet Pro, Pagewide Pro, OfficeJet, Enterprise, Large Format và DeskJet.
Tín nhiệm mạng | Microsoft xác nhận LAPSUS$ đã xâm phạm vào vào hệ thống của họ. Nhà cung cấp dịch vụ xác thực Okta cũng cho biết gần 2,5% khách hàng của họ có khả năng bị ảnh hưởng sau vụ vi phạm.
Tín nhiệm mạng | Năm lỗ hổng bảo mật mới được phát hiện trong Dell BIOS cho phép đối tượng tấn công thực thi mã trên các hệ thống dễ bị tấn công, bao gồm CVE-2022-24415, CVE-2022-24416,...
Chúng tôi sẽ sớm liên hệ với bạn để xác thực các thông tin & hoàn tất quá trình kiểm duyệt để cấp chứng nhận.
Cảm ơn bạn đã thực hiện đánh giá.
