Nhóm tấn công DEV0569 thay đổi chiến thuật, sử dụng Google Ads để phát tán phần mềm độc hại

0
0

- Gần đây, nhóm tấn công DEV-0569 đã được phát hiện đang liên tục phát triển các cuộc tấn công của mình, nhóm đang cải thiện chiến thuật tránh phát hiện, phân phối payload để phát tán phần mềm độc hại.

Từ tháng 8 đến tháng 10 năm 2022, nhóm thông qua các cuộc tấn công quảng cáo độc hại, người dùng được gửi liên kết giả mạo mạo danh các ứng dụng như Microsoft Teams, Zoom, Adobe Flash Player, AnyDesk hoặc LogMeln.

Nhóm sử dụng payload là BatLoader, loại bỏ payload giai đoạn tiếp theo (thông qua các lệnh PowerShell), bao gồm phần mềm tống tiền Royal và Cobalt Strike Beacon. Bên cạnh đó nhóm cũng sử dụng công cụ nguồn mở Nsudo để vô hiệu hóa các giải pháp chống virus trên máy được nhằm mục tiêu.

 

Tháng 9 năm 2022, nhóm bắt đầu sử dụng các biểu mẫu liên hệ trên các trang web công cộng giả mạo cơ quan tài chính quốc gia để gửi payload đánh cắp thông tin.

Khi người dùng phản hồi qua email, họ đã nhận được một tin nhắn chứa liên kết độc hại có chứa BatLoader, được lưu trữ trên kho GitHub và OneDrive. Bên cạnh các tệp có trình cài đặt, nhóm sử dụng các định dạng tên Virtual Hard Disk (VHD).

Cuối tháng 10, các chiến dịch quảng cáo độc hại DEV-0569 sử dụng Google Ads, sẽ tồn tại cùng với lưu lượng truy cập web bình thường để tránh bị phát hiện.

DEV-0569 đang lợi dụng các dịch vụ chính hãng như Google Ads, GitHub và OneDrive cũng như các công cụ như Keitaro để ẩn mình. Để phòng tránh các cuộc tấn công như vậy, các tổ chức nên thiết lập chính sách email nghiêm ngặt và triển khai các quy tắc luồng email để hạn chế dải IP và cấp độ tên miền được phép lưu hành trong tổ chức.

Theo khuyến cáo từ  Trung tâm Giám sát an toàn không gian mạng quốc gia NCSC - Cục An toàn thông tin - thuộc Bộ Thông tin và Truyền thông, với cảnh báo nêu trên, các doanh nghiệp, tổ chức cần thường xuyên cập nhật thông tin (như các chiến dịch tấn công của các nhóm APT, thông tin IoC kèm theo từng chiến dịch, điểm yếu lỗ hổng đang bị lợi dụng để khai thác,…), rà soát trên các hệ thống thống thông tin để phát hiện và ngăn chặn, xử lý kịp thời.

Phạm Lê


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.