CERT-UA cho rằng chiến dịch tấn công được thực hiện bởi nhóm tin tặc UAC-0027. Phần mềm độc hại DirtyMoe xuất hiện sớm nhất từ năm 2016 và được triển khai bằng nhiều bộ công cụ khác nhau như PurpleFox hoặc trình cài đặt Telegram được chèn vào yêu cầu sự tương tác của người dùng. Đặc biệt, DirtyMoe có khả năng thực hiện các cuộc tấn công mã hóa, tấn công từ chối dịch vụ phân tán (DDoS) và khai thác tiền điện tử.
DirtyMoe thực thi dưới dạng dịch vụ Windows với các đặc quyền hệ thống thông qua EternalBlue (mã khai thác thông tin được phát triển bởi Cục An ninh Quốc gia Mỹ - NSA) và ít nhất ba hoạt động khai thác khác. Theo công ty an ninh mạng Avast (Cộng hòa Séc), chức năng cụ thể này được điều khiển từ xa bởi tác giả phần mềm độc hại, những người có thể cấu hình lại hàng nghìn phiên bản DirtyMoe để đạt được các chức năng mong muốn trong vòng vài giờ. Vào tháng 3/2022, Avast cũng đã tiết lộ khả năng lây nhiễm của DirtyMoe với các đặc điểm của Worm bằng cách lợi dụng các lỗi bảo mật đã được công bố.
Theo các nhà nghiên cứu của CERT-UA, botnet DDoS trong chiến dịch lây nhiễm DirtyMoe được phát tán thông qua Purple Fox hoặc các gói cài đặt MSI giả mạo cho các phần mềm phổ biến như Telegram. Purple Fox cũng được trang bị rootkit cho phép kẻ tấn công che giấu phần mềm độc hại trên máy mục tiêu và gây khó khăn cho việc phát hiện cũng như loại bỏ.
Điều đáng chú ý, DirtyMoe có chức năng tự lan truyền bằng cách thu thập dữ liệu xác thực hoặc khai thác một số lỗ hổng liên quan đến các máy tính nằm trong mạng cục bộ và các máy tính dựa trên danh sách địa chỉ IP được tạo bởi một thuật toán cụ thể, tùy thuộc vào địa chỉ IP công cộng của mục tiêu.
Để đảm bảo khả năng chịu lỗi (Fault Tolerance) trong giao tiếp với cơ sở hạ tầng điều khiển, ít nhất ba phương pháp khai thác được các tin tặc sử dụng, một trong số đó có liên quan đến việc lấy giá trị bản ghi A cho các tên miền được xác định bằng cả máy chủ DNS cục bộ và bên ngoài, bao gồm: 8.8.8.8 ; 1.1.1.1 ; 114.114.114.114 và 119.29.29.29. Ngoài ra, các địa chỉ IP được lưu trữ trong registry của hệ điều hành và những địa chỉ có được thông qua truy vấn DNS đều bị xáo trộn.
CERT-UA cho biết họ đã xác định được 486 địa chỉ IP của các máy chủ kiểm soát trung gian trong khoảng thời gian từ ngày 20 đến ngày 31/01/2024, phần lớn trong số đó có liên quan đến các thiết bị phần cứng bị xâm nhập ở Trung Quốc. Đồng thời, CERT-UA cũng khuyến nghị các tổ chức nên cập nhật bản vá bảo mật đối với các hệ thống chủ quản và giám sát lưu lượng truy cập mạng để phát hiện bất kỳ hoạt động bất thường nào.
Tiết lộ này được đưa ra khi hãng bảo mật Securonix (Mỹ) trình bày chi tiết về một chiến dịch lừa đảo đang diễn ra có tên là STEADY#URSA để cung cấp backdoor PowerShell SUBTLE-PAWS, với mục tiêu nhắm vào các cơ quan thuộc Quân đội Ukraine.
Vũ Mạnh Hà
(Tổng hợp)
14:00 | 29/09/2022
08:00 | 12/03/2024
12:00 | 12/08/2022
08:00 | 21/03/2024
13:00 | 02/08/2022
13:00 | 19/03/2024
Cơ quan an ninh mạng Hoa Kỳ (CISA) đã yêu cầu các cơ quan của Chi nhánh điều hành dân sự liên bang Hoa Kỳ (FCEB) bảo mật hệ thống Windows của họ trước một lỗ hổng nghiêm trọng trong Dịch vụ phát trực tuyến của Microsoft (MSKSSRV.SYS).
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
07:00 | 11/12/2023
Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.
Nhóm tình báo mối đe dọa Threat Intelligence của Microsoft cho biết, các tác nhân đe dọa đang tích cực khai thác các lỗ hổng nghiêm trọng trong OpenMetadata để có quyền truy cập trái phép vào khối lượng workload trong Kubernetes và lạm dụng chúng cho hoạt động khai thác tiền điện tử.
14:00 | 25/04/2024