Công ty an ninh mạng Kaspersky của Nga cho biết, các cuộc tấn công này do một nhóm có tên WIRTE, liên quan đến kiểu tấn công sử dụng Microsoft Excel dropper. Nhóm này sử dụng bảng tính ẩn và Macro VBA để tải về Visual Basic Script (VBS) với chức năng thu thập thông tin hệ thống và thực thi mã tùy ý trên máy bị nhiễm mã độc.
Qua các phân tích về chiến dịch cũng như bộ công cụ và phương pháp mà kẻ tấn công sử dụng, các nhà nghiên cứu kết luận rằng nhóm WIRTE có mối liên hệ với tổ chức gián điệp mạng Gaza Cybergang hoạt động ở Trung Đông và Trung Á. Các mục tiêu bị nhắm đến trải rộng trên Armenia, Cyprus, Ai Cập, Jordan, Lebanon, Palestine, Syria và Thổ Nhĩ Kỳ.
Nhà nghiên cứu Maher Yamout của Kaspersky cho biết: “WIRTE sử dụng các giao thức truyền văn bản (Text transfer protocol - TTP) đơn giản và khá phổ biến cho phép chúng không bị phát hiện trong một thời gian dài. Các phương pháp đơn giản nhưng dễ lừa các nạn nhân mắc bẫy".
Theo Kaspersky, việc giả mạo các tài liệu Microsoft Office để triển khai VBS có khả năng được gửi thông qua các email lừa đảo có chủ đích liên quan đến Palestine và các chủ đề thịnh hành khác phù hợp với các nạn nhân được nhắm mục tiêu.
Excel dropper được lập trình để thực thi các macro độc hại, sau đó tải xuống và cài đặt mã độc Ferocious trên thiết bị của người nhận, trong khi Word dropper sử dụng các macro VBA để tải xuống phần mềm đó. Ferocious dropper sử dụng một kỹ thuật được gọi là COM hijacking để thực thi tập lệnh PowerShell có tên là LitePower.
LitePower hoạt động như trình tải xuống và truyền tin kết nối với các máy chủ điều khiển và chỉ huy từ xa đặt tại Ukraine và Estoni. Sau đó chờ các lệnh khác có thể dẫn đến việc triển khai phần mềm độc hại bổ sung trên các hệ thống bị xâm phạm.
Yamout cho biết: "WIRTE đã sửa đổi bộ công cụ và cách hoạt động của chúng để có thể hoạt động lén lút trong một thời gian dài. Việc sử dụng phần mềm độc hại bằng ngôn ngữ thông dịch như tập lệnh VBS và PowerShell nhằm tăng thêm tính linh hoạt để cập nhật bộ công cụ của chúng và tránh bị phát hiện".
Phương Thanh (Theo The Hacker News)
13:00 | 18/11/2021
10:00 | 07/11/2023
09:00 | 16/11/2021
09:00 | 23/11/2021
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
07:00 | 18/01/2024
Một kỹ thuật khai thác mới có tên là SMTP Smuggling có thể được tin tặc sử dụng để gửi email giả mạo có địa chỉ người gửi giả và vượt qua các biện pháp bảo mật.
09:00 | 08/12/2023
Để bổ sung thêm những tính năng dành cho các nền tảng ứng dụng nhắn tin hiện nay, các nhà phát triển bên thứ ba đã đưa ra các bản mod (phiên bản sửa đổi của ứng dụng không chính thức) cung cấp các tính năng mới bên cạnh những nâng cấp về mặt giao diện. Tuy nhiên, một số mod này có thể chứa phần mềm độc hại cùng với các cải tiến hợp pháp. Một trường hợp điển hình đã xảy ra vào năm ngoái khi các nhà nghiên cứu Kaspersky phát hiện ra Trojan Triada bên trong bản mod WhatsApp. Gần đây, các nhà nghiên cứu đã phát hiện một bản mod Telegram có module gián điệp được nhúng và phân phối thông qua Google Play. Câu chuyện tương tự hiện tại xảy ra với WhatsApp, khi một số bản mod trước đây đã được phát hiện có chứa module gián điệp có tên là Trojan-Spy.AndroidOS.CanesSpy.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024