Cụ thể, nhóm tin tặc có tên TA2541 được phát hiện bởi công ty bảo mật doanh nghiệp Proofpoint (Mỹ), đã sử dụng phần mềm độc hại AsyncRAT và NetWire để nhắm tới một số lượng lớn các mục tiêu thông qua việc phát tán vô số tin nhắn rác. Tuy nhiên, mục tiêu cuối cùng của các cuộc tấn công hiện vẫn chưa được xác định.
Nhóm tin tặc sử dụng chiến thuật tấn công phi kỹ thuật bằng việc gửi tin nhắn lừa đảo với các thông điệp mồi nhử liên quan đến hàng không, hậu cần, giao thông vận tải và du lịch. TA2541 đã lợi dụng dịch bệnh COVID-19 để gửi đi nhiều tin nhắn lừa đảo từ đầu năm 2020 với các email có nội dung liên quan đến các lô hàng thiết bị bảo vệ cá nhân hoặc bộ dụng cụ thử nghiệm.
Sherrod DeGrippo, Phó chủ tịch nghiên cứu và phát hiện mối đe dọa tại Proofpoint, cho biết: "Mặc dù TA2541 nhất quán trong một số hành vi, chẳng hạn như sử dụng email mạo danh công ty hàng không để phát tán trojan truy cập từ xa, nhưng nhóm tin tặc đã thay đổi phương thức gửi, tệp đính kèm, URL, cơ sở hạ tầng và loại phần mềm độc hại".
Phương thức hoạt động của nhóm tin tặc TA2541
Các chiến dịch trước đây sử dụng các tệp đính kèm Microsoft Word chứa macro để triển khai RAT, tuy nhiên các biến thể gần đây lại bao gồm các liên kết đến các dịch vụ đám mây để lưu trữ phần mềm độc hại. Các cuộc tấn công lừa đảo được cho là nhắm vào hàng trăm tổ chức trên toàn cầu, với các mục tiêu được phát hiện ở Bắc Mỹ, Châu Âu và Trung Đông.
Ngoài việc sử dụng lặp lại các chủ đề để gửi email giả mạo, các chuỗi lây nhiễm gần đây sử dụng các URL ứng dụng Discord trỏ đến các tệp nén chứa phần mềm độc hại AgentTesla hoặc Imminent Monitor. Tin tặc đã sử dụng các mạng phân phối nội dung để phát tán các trình thu thập thông tin nhằm điều khiển từ xa máy móc bị xâm nhập.
Thống kê số lượng các tin nhắn lừa đảo được sử dụng bởi các mã độc khác nhau
Các kỹ thuật nâng cao được TA2541 sử dụng bao gồm việc sử dụng máy chủ riêng ảo (VPS) cho cơ sở hạ tầng gửi email và DNS động cho các hoạt động ra lệnh và kiểm soát (C2).
Với việc Microsoft công bố kế hoạch tắt macro theo mặc định cho các tệp tải xuống từ Internet bắt đầu từ tháng 4/2022, động thái này dự kiến sẽ khiến tin tặc đẩy mạnh và chuyển hướng sang các phương pháp khác nếu macro trở thành một phương thức phân phối kém hiệu quả.
DeGrippo giải thích: “Trong khi các tài liệu Office chứa macro độc hại là một trong những kỹ thuật được sử dụng thường xuyên để tải xuống và thực thi các mã độc, thì việc lạm dụng các dịch vụ lưu trữ hợp pháp cũng đã phổ biến hơn. Ngoài ra, chúng tôi thường xuyên quan sát thấy tin tặc sử dụng mã độc được chứa trong tệp lưu trữ và tệp hình ảnh, điều này cũng có thể ảnh hưởng đến khả năng phát hiện và phân tích. Tin tặc sẽ liên tục thay đổi và tìm kiếm các phương thức mới để triển khai phần mềm độc hại".
M.H
11:00 | 16/02/2022
14:00 | 02/03/2022
08:00 | 02/02/2022
10:00 | 10/02/2022
09:00 | 09/04/2024
Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.
13:00 | 05/04/2024
Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024