🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                    🔥 Văn phòng Ủy ban nhân dân tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                   

Winter Vivern APT sử dụng phần mềm quét vi-rút giả mạo để lây nhiễm mã độc

17/03/2023

Một nhóm APT có tên 'Winter Vivern' đã nhắm mục tiêu vào các tổ chức chính phủ Châu Âu và các nhà cung cấp dịch vụ viễn thông để tiến hành hoạt động gián điệp.

Nhóm APT này được cho là có liên quan đến chính phủ Nga do các hoạt động của chúng phù hợp với lợi ích của Nga và Belarus.

Winter Vivern lần đầu tiên được DomainTools báo cáo vào năm 2021 khi nó nhắm mục tiêu vào các tổ chức chính phủ ở Litva, Slovakia, Vatican và Ấn Độ.

Trong các chiến dịch gần đây mà Sentinel Labs đã phát hiện, Winter Vivern đã nhắm mục tiêu vào các cá nhân làm việc trong chính phủ Ba Lan, Ý, Ukraine và Ấn Độ.

Ngoài các mục tiêu cấp cao của nhà nước, nhóm cũng nhắm vào các công ty viễn thông đã hỗ trợ Ukraine kể từ cuộc xâm lược của Nga.

Bắt đầu từ đầu năm 2023, Winter Vivern đã tạo các trang giả mạo các trang web của Cục Phòng chống Tội phạm Mạng Trung ương của Ba Lan, Bộ Ngoại giao Ukraine và Cơ quan An ninh Ukraine.

Các trang web này lưu trữ các tệp độc hại được phát tán thông qua các liên kết trong email độc hại được gửi đến các mục tiêu.

Trước đây, SentinelLabs cũng đã phát hiện các tệp bảng tính (XLS) có chứa macro độc hại khởi chạy PowerShell được phát tán thông qua các các trang web giả mạo mà nhóm APT sử dụng.

Phần mềm quét virus giả mạo

Một ví dụ cho thấy sự phát triển của Winter Vivern trong báo cáo của Sentinel Labs là việc sử dụng các tệp batch của Windows để giả mạo chương trình quét vi-rút trong khi trên thực tế, nó được thiết kế để tải xuống các payload (phần mềm, tệp) độc hại.

Chương trình độc hại sẽ giả vờ thực hiện quét vi-rút, hiển thị phần trăm thời gian còn lại đang chạy, trong khi âm thầm tải xuống tệp độc hại bằng PowerShell.

Payload được cài đặt thông qua quy trình này được đặt tên là "Aperetif", được CERT Ukraine tiết lộ chi tiết trong một báo cáo vào tháng 2 năm 2023.

Phần mềm độc hại được lưu trữ trên các trang web WordPress bị xâm nhập, thường được sử dụng cho các chiến dịch phát tán mã độc.

Aperetif có khả năng quét và lọc tệp tự động, chụp ảnh màn hình và gửi tất cả dữ liệu ở dạng mã hóa base64 tới máy chủ do kẻ tấn công kiểm soát (marakanas[.]com).

SentinelLabs cũng phát hiện ra một payload mới được Winter Vivern sử dụng, có vẻ như có chức năng tương tự với Aperefit nhưng có thiết kế chưa hoàn thiện, điều này cho thấy đây có thể là một công việc đang được tiến hành của nhóm.

Trong cả hai trường hợp, mã độc sẽ gửi các tín hiệu (beacon) đến máy chủ điều khiển tấn công bằng PowerShell và nhận lệnh hoặc payload bổ sung từ máy chủ.

Winter Vivern là một nhóm sử dụng cách tiếp cận tương đối đơn giản nhưng hiệu quả để thu hút mục tiêu tải xuống các tệp độc hại.

Để tránh trở thành nạn nhân của của các cuộc tấn công này, người dùng nên cẩn thận trước khi tải xuống bất kỳ tệp nào cũng như chỉ cài đặt các phần mềm, ứng dụng từ những nguồn đáng tin cậy.

Nguồn: bleepingcomputer.com.

scrolltop