Chỉ trong vài tháng trở lại đây, an ninh mạng của Mỹ đã bị ảnh hưởng nghiêm trọng vì liên tiếp phải hứng chịu các đợt tấn công của mã độc tống tiền (ransomware). Tin tặc đang cố gắng tận dụng cuộc khủng hoảng tấn công tống tiền công ty Kaseya để tấn công vào các nạn nhân tiềm năng, trong một chiến dịch thư rác đính kèm mã độc Cobalt Strike được ngụy trang thành các bản cập nhật bảo mật Kaseya VSA.
Cobalt Strike là một công cụ kiểm tra thâm nhập hợp pháp và phần mềm mô phỏng mối đe dọa. Tin tặc thường sử dụng cho các nhiệm vụ sau khai thác và triển khai beacon cho phép chúng truy cập từ xa vào các hệ thống bị xâm phạm. Mục tiêu cuối cùng của các cuộc tấn công như vậy là thu thập và trích xuất dữ liệu nhạy cảm hoặc triển khai một phần mềm độc hại ở giai đoạn tiếp theo.
Các nhà nghiên cứu tại Malwarebytes Threat Intelligence đã phát hiện ra chiến dịch thư rác sử dụng hai chiến thuật khác nhau để phát tán Cobalt Strike.
Các email độc hại được gửi trong chiến dịch này gắn với tệp đính kèm độc hại và một liên kết nhúng được thiết kế trông giống như một bản vá của Microsoft cho Kaseya VSA zero-day bị khai thác trong cuộc tấn công ransomware REvil. Qua đó, tin tặc có được quyền truy cập từ xa vào hệ thống mục tiêu sau khi người dùng chạy tệp đính kèm độc hại hoặc tải xuống và khởi chạy bản cập nhật Microsoft giả mạo trên thiết bị của mình.
Thư giả mạo được gửi tới nạn nhân
Kaseya cho biết họ không thể triển khai bản cập nhật bản vá cho VSA zero-day do REvil khai thác, nhiều khách hàng của Kaseya có thể mắc bẫy trong chiến dịch lừa đảo này.
Trước đó vào tháng 6/2021, tin tặc cũng đã sử dụng các bản cập nhật hệ thống giả mạo, tuyên bố giúp phát hiện và chặn việc lây nhiễm ransomware sau cuộc tấn công Colonial Pipeline. Cũng giống như chiến dịch malspam, chiến dịch lừa đảo này cũng sử dụng các phần mềm độc hại được thiết kế để triển khai công cụ kiểm tra thâm nhập Cobalt Strike.
Các nhà nghiên cứu của INKY đã phát hiện ra các cuộc tấn công cho biết, các email lừa đảo đi kèm với thời hạn cài đặt các bản cập nhật giả mạo để tăng thêm tính cấp bách. Các trang tải xuống payload cũng được tùy chỉnh bằng cách sử dụng giao diện giống với của công ty mục tiêu để làm cho chúng có vẻ đáng tin cậy.
Hai chiến dịch này nhấn mạnh rằng các tác nhân đe dọa trong hoạt động kinh doanh lừa đảo theo dõi các tin tức mới nhất để thúc đẩy các chiêu dụ có liên quan đến các sự kiện gần đây nhằm tăng tỷ lệ thành công cho các chiến dịch của mình.
Việc lợi dụng các nạn nhân đang trong tình trạng hoảng loạn trước các cuộc tấn công lớn đang tăng lên trong thời gian gần đây. Các công ty, tổ chức và cá nhân cẩn cẩn trọng trước các thông tin liên quan đến các cuộc tấn công này. Điều quan trọng nhất là luôn duy trì các hệ thống, chính sách bảo mật chống lại các email lừa đảo và có đính kèm mã độc.
Đăng Thứ
15:00 | 11/06/2021
17:00 | 09/08/2021
17:00 | 28/07/2021
13:00 | 11/06/2021
15:00 | 09/06/2021
12:00 | 12/04/2024
Mới đây, Cục An toàn thông tin khuyến nghị người dân cảnh giác với 7 hình thức lừa đảo trực tuyến phổ biến, gồm 5 hình thức trong nước và 2 hình thức có quy mô quốc tế.
08:00 | 04/04/2024
Các nhà nghiên cứu bảo mật phát hiện ra plugin của bên thứ ba hiện có dành cho ChatGPT có thể hoạt động như một bề mặt tấn công mới để truy cập trái phép vào dữ liệu nhạy cảm.
14:00 | 05/03/2024
Một sự cố an ninh mạng nghiêm trọng gần đây đã xảy ra khi một trình cài đặt trong phần mềm của Chính phủ Nga bị cài đặt backdoor để phát tán trojan truy cập từ xa có tên Konni RAT (còn gọi là UpDog).
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024