- Trong chiến dịch tấn công lừa đảo mới đây nhất, nhóm APT TA505 đã sử dụng hàng loạt kỹ thuật tinh vi để đánh lừa người dùng.
Nhóm APT TA505 đang triển khai một chiến dịch lừa đảo tinh vi bằng cách sử dụng tệp thực thi Hệ thống quản lý từ xa (RMS) để tấn công người dùng ở các quốc gia mục tiêu.
Tệp thực thi RMS được xem là một công cụ quản lý từ xa uy tín và là một yếu tố then chốt trong các cuộc tấn công của TA505. Đáng chú ý, mã độc này đã phát tán trên nhiều trang web lừa đảo khác nhau.
Bắt đầu hoạt động từ năm 2014, nhóm TA505 trở nên nổi tiếng với những cuộc tấn công ransomware thông qua biến thể Clop. Việc sử dụng công cụ RMS thể hiện tính phức tạp trong chiến thuật tấn công của nhóm này, điều này đã giúp TA505 chiếm được quyền truy cập sớm và thực hiện các chiến dịch tấn công trên phạm vi toàn cầu một cách hiệu quả.
Ảnh minh họa |
Sự bùng nổ của chiến dịch lừa đảo bằng việc giả mạo các ứng dụng bị chặn
Xu hướng sử dụng các ứng dụng bị chặn để khai thác lỗ hổng bảo mật đang ngày càng trở nên phổ biến, chiến dịch VASTFLUX là minh chứng rõ rệt cho các rủi ro có thể gây ra khi đã ảnh hưởng tới 11 triệu thiết bị thông qua việc giả mạo hơn 1700 ứng dụng từ 120 nhà phát triển.
Hiện tại, các chiến dịch sử dụng kỹ thuật giả mạo ứng dụng bị chặn chủ yếu tập trung tại Nga do những hạn chế về mặt pháp lý.
Kỹ thuật tấn công của nhóm APT TA505
Trong chiến dịch tấn công lừa đảo, nhóm APT TA505 đã sử dụng hàng loạt kỹ thuật tinh vi để đánh lừa người dùng.
Sử dụng công cụ RMS (Remote Management System): TA505 sử dụng một công cụ Quản lý Từ xa (RMS) để triển khai chiến dịch tấn công. Công cụ này cho phép đối tượng tấn công thực hiện các hoạt động từ xa trên máy tính của nạn nhân, như truyền tệp và chia sẻ màn hình.
Phát tán payload độc hại thông qua website lừa đảo: TA505 sử dụng các trang web lừa đảo để phát tán mã độc. Cụ thể, nhóm này sử dụng các tệp thực thi RMS và ẩn mã độc trong các tệp nén tự giải nén (SFX), điều này giúp họ che giấu payload độc hại.
Lợi dụng sự phổ biến của các ứng dụng bị chặn
Chiến dịch của nhóm APT TA505 tận dụng lòng tin của người dùng đối với các ứng dụng bị chặn. Ví dụ, khi người dùng tải xuống một ứng dụng giả mạo giống như ExpressVPN thông qua trang web lừa đảo, họ sẽ thực tải một folder SFX. Khi thực thi, nó sẽ giả mạo thành một trình cài đặt ExpressVPN chính thống, trong khi thực tế đang tải về payload độc hại.
Sử Dụng Khóa Registry và Thư mục tạm thời: File SFX sau đó sẽ chèn dữ liệu vào khóa Registry "HKCUSoftwareWinRAR SFX" và tạo một thư mục trong %TMP% để lưu trữ cả tệp thực thi RMS lẫn trình cài đặt ExpressVPN thật.
Sự trở lại của công cụ RMS trong chiến dịch này được xem như một nỗ lực nhằm tấn công những người thiếu kiến thức về an toàn thông tin. Bằng cách sử dụng các ứng dụng bị chặn tại các quốc gia, nhóm APT TA505 đã linh hoạt và cải thiện các biện pháp để chiến thuật tấn công ngày càng trở nên tinh vi hơn và hiệu quả hơn.
PV