Nhóm tấn công DEV0569 thay đổi chiến thuật, sử dụng Google Ads để phát tán phần mềm độc hại

0
0

- Gần đây, nhóm tấn công DEV-0569 đã được phát hiện đang liên tục phát triển các cuộc tấn công của mình, nhóm đang cải thiện chiến thuật tránh phát hiện, phân phối payload để phát tán phần mềm độc hại.

Từ tháng 8 đến tháng 10 năm 2022, nhóm thông qua các cuộc tấn công quảng cáo độc hại, người dùng được gửi liên kết giả mạo mạo danh các ứng dụng như Microsoft Teams, Zoom, Adobe Flash Player, AnyDesk hoặc LogMeln.

Nhóm sử dụng payload là BatLoader, loại bỏ payload giai đoạn tiếp theo (thông qua các lệnh PowerShell), bao gồm phần mềm tống tiền Royal và Cobalt Strike Beacon. Bên cạnh đó nhóm cũng sử dụng công cụ nguồn mở Nsudo để vô hiệu hóa các giải pháp chống virus trên máy được nhằm mục tiêu.

 

Tháng 9 năm 2022, nhóm bắt đầu sử dụng các biểu mẫu liên hệ trên các trang web công cộng giả mạo cơ quan tài chính quốc gia để gửi payload đánh cắp thông tin.

Khi người dùng phản hồi qua email, họ đã nhận được một tin nhắn chứa liên kết độc hại có chứa BatLoader, được lưu trữ trên kho GitHub và OneDrive. Bên cạnh các tệp có trình cài đặt, nhóm sử dụng các định dạng tên Virtual Hard Disk (VHD).

Cuối tháng 10, các chiến dịch quảng cáo độc hại DEV-0569 sử dụng Google Ads, sẽ tồn tại cùng với lưu lượng truy cập web bình thường để tránh bị phát hiện.

DEV-0569 đang lợi dụng các dịch vụ chính hãng như Google Ads, GitHub và OneDrive cũng như các công cụ như Keitaro để ẩn mình. Để phòng tránh các cuộc tấn công như vậy, các tổ chức nên thiết lập chính sách email nghiêm ngặt và triển khai các quy tắc luồng email để hạn chế dải IP và cấp độ tên miền được phép lưu hành trong tổ chức.

Theo khuyến cáo từ  Trung tâm Giám sát an toàn không gian mạng quốc gia NCSC - Cục An toàn thông tin - thuộc Bộ Thông tin và Truyền thông, với cảnh báo nêu trên, các doanh nghiệp, tổ chức cần thường xuyên cập nhật thông tin (như các chiến dịch tấn công của các nhóm APT, thông tin IoC kèm theo từng chiến dịch, điểm yếu lỗ hổng đang bị lợi dụng để khai thác,…), rà soát trên các hệ thống thống thông tin để phát hiện và ngăn chặn, xử lý kịp thời.

Phạm Lê


Ý kiến bạn đọc


Bộ Giáo dục và Đào tạo cảnh báo thủ đoạn lừa đảo tuyển dụng công chức

(VnMedia) - Bộ Giáo dục và Đào tạo khẳng định, Bộ chỉ cung cấp thông tin chính thức trên môi trường mạng qua hai kênh: Cổng Thông tin điện tử Bộ GD&ĐT (https://moet.gov.vn/Pages/home.aspx); Trang Thông tin điện tử Bộ GD&ĐT trên nền tảng Facebook (https://www.facebook.com/thongtinbogiaoducvadaotao/).

Bóng hồng nổi danh ở Thung lũng Silicon bị kết tội lừa đảo, tìm cách lật ngược bản án

(VnMedia) - Luật sư của người sáng lập hãng xét nghiệp máu Theranos - Elizabeth Holmes và Chủ tịch công ty Ramesh "Sunny" Balwani hôm 11/6 đã kêu gọi tòa phúc thẩm liên bang hủy bỏ bản án của họ về tội lừa gạt các nhà đầu tư liên quan đến công ty khởi nghiệp xét nghiệm máu thất bại...

Nhận diện các hình thức mua bán hóa đơn không hợp pháp

(VnMedia) - Đối tượng bán hóa đơn không hợp pháp thành lập một hoặc chuỗi DN, hộ kinh doanh thông qua việc sử dụng giấy chứng minh thư nhân dân/CCCD của một số người thiếu hiểu biết, hám lợi, bị mất cắp hoặc giả mạo, hoạt động trong một chu kỳ ngắn rồi bỏ trốn, mất tích.

Cảnh giác với thủ đoạn của tội phạm mua bán người trên không gian mạng

(VnMedia) - Mới đây, Công an tỉnh Quảng Ninh đã ra khuyến cáo người dân cảnh giới với phương thức, thủ đoạn của tội phạm mua bán người trên không gian mạng.

Giá vàng nhẫn tròn trơn tăng theo thế giới

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (12/6), giá vàng giao ngay tại thị trường New York đã tiếp tục tăng hơn 5 USD/ounce. Trong nước, giá vàng nhẫn tròn trơn của Bảo Tín Minh Châu cũng cộng thêm 100 nghìn đồng/lượng lúc cuối giờ làm việc ngày hôm qua.