.jpg)
Theo đó, các chuyên gia an ninh mạng từ Sophos X-Ops gần đây đã quan sát thấy các tác nhân đe dọa đang sử dụng phương pháp Bring Your Own Vulnerable Driver (BYOVD) để triển khai một công cụ có tên AuKill, có khả năng vô hiệu hóa các chương trình bảo mật đang được cài đặt trên thiết bị của nạn nhân.
Bước đầu tiên trong phương pháp BYOVD, tin tặc sẽ tìm cách cài cắm trình điều khiển hợp pháp nhưng tồn tại lỗ hổng dễ bị tấn công vào thiết bị đầu cuối của nạn nhân. Việc này thường được thực hiện thông qua các cuộc tấn công và phát tán trình điều khiển qua email lừa đảo.
Các trình điều khiển độc hại thường có khả năng chạy với các đặc quyền của hệ thống, được gọi là procexp.sys và được phân phối cùng với trình điều khiển hợp pháp, được sử dụng bằng Process Explorer v16.32 của Microsoft (một chương trình quản lý và thu thập dữ liệu trên các tiến trình Windows đang hoạt động).
Sau khi tệp DLL độc hại được thực thi, việc đầu tiên là nó sẽ tự kiểm tra xem bản thân có đang hoạt động với đặc quyền hệ thống hay không. Nếu có, tệp độc hại này sẽ bắt đầu kiểm tra và vô hiệu hóa các tiến trình và dịch vụ bảo mật của hệ thống.
Sau khi vô hiệu hóa các chương trình bảo mật, những kẻ đứng sau AuKill sẽ triển khai phần mềm độc hại. Theo báo cáo của Sophos X-Ops, tin tặc đôi lúc sẽ triển khai cả Medusa Locker hoặc LockBit - cả hai biến thể ransomware cực kỳ mạnh và phổ biến hiện nay.
Mặc dù công cụ này có vẻ ít được biết đến và chỉ mới được phát hiện, nhưng một trong các biến thể của nó cho thấy đã hoạt động từ tháng 11/2022. Các nhà nghiên cứu kết luận rằng phiên bản mới nhất được phát hiện vào giữa tháng 2/2023. Mã của nó tương tự như mã của công cụ mã nguồn mở Backstab cũng có khả năng vô hiệu hóa các chương trình chống virus. Những kẻ tấn công LockBit cũng từng triển khai Backstab trong quá khứ.
Nguyễn Chân
14:00 | 13/02/2023
14:00 | 19/05/2023
15:00 | 21/10/2019
09:00 | 07/06/2023
14:59 | 22/05/2017
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
10:00 | 13/03/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Zscaler (Hoa Kỳ) cho biết, kể từ tháng 12/2023 các tác nhân đe dọa đã tạo ra các trang web giả mạo phần mềm họp trực tuyến phổ biến như Google Meet, Skype và Zoom để phát tán Trojan truy cập từ xa (RAT), bao gồm SpyNote RAT cho nền tảng Android, NjRAT và DCRat trên Windows.
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024
