Các vụ tấn công được cho là do một tổ chức nhà nước liên kết với Iran với biệt danh Agrius. Các nhà nghiên cứu cho biết: “Phân tích cho thấy dường như đây là một cuộc tấn công bằng mã độc tống tiền, chúng tiết lộ biến thể mới đã được triển khai trong một loạt các cuộc tấn công nhằm vào các mục tiêu của Israel gần đây. Các nhà điều hành đằng sau các cuộc tấn công cố tình che giấu hoạt động của họ như là các cuộc tấn công ransomware, một hành vi không phổ biến đối với các nhóm có động cơ tài chính”.
Phương thức hoạt động của nhóm liên quan đến việc triển khai phần mềm độc hại trên nền tảng .NET tùy chỉnh có tên là Apostle. Phần mềm này được phát triển để trở thành ransomware có đầy đủ chức năng và khả năng tự nâng cấp. Ngoài ra, nhóm tin tặc Agrius đã phát tán một lây nhiễm .NET có tên là IPsec Helper, nó có thể được sử dụng để lấy dữ liệu hoặc triển khai phần mềm độc hại bổ sung. Hơn nữa, chiến thuật của chúng đã cho thấy sự chuyển đổi từ hoạt động gián điệp sang đòi tiền chuộc nếu nạn nhân muốn khôi phục quyền truy cập vào dữ liệu được mã hóa.
Quy trình tấn công của Agrius (theo SentinelLabs)
Bên cạnh việc sử dụng ProtonVPN để ẩn danh, chu kỳ tấn công của Agrius khai thác các lỗ hổng 1-day trong các ứng dụng dựa trên web (bao gồm CVE-2018-13379). Sau đó, Agrius cung cấp các trình duyệt web ASPXSpy để duy trì quyền truy cập từ xa vào các hệ thống bị xâm phạm và thực thi các lệnh tùy ý .
Nghiên cứu cũng bổ sung thêm bằng chứng cho thấy các tổ chức được nhà nước được bảo trợ có quan hệ với chính phủ Iran đang ngày càng xem các hoạt động của ransomware như một kỹ thuật để bắt chước các nhóm ransomware có động cơ tài chính khác.
Nguyễn Chân
(Theo The hacker news)
13:00 | 18/05/2021
13:00 | 12/05/2021
10:00 | 10/11/2021
22:00 | 01/01/2022
08:00 | 17/03/2022
10:00 | 28/12/2020
17:00 | 28/07/2021
09:00 | 01/04/2024
Vừa qua, công ty bảo mật đám mây Akamai (Mỹ) đã đưa ra cảnh báo về việc khai thác lỗ hổng Kubernetes ở mức độ nghiêm trọng cao, có thể dẫn đến việc thực thi mã tùy ý với các đặc quyền hệ thống trên tất cả các điểm cuối Windows trong một cụm (cluster).
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
10:00 | 31/01/2024
Các nhà nghiên cứu tại công ty an ninh mạng CloudSEK (Ấn Độ) cho biết: tin tặc đang phân phối phần mềm đánh cắp thông tin bằng cách lợi dụng điểm cuối Google OAuth có tên MultiLogin để chiếm quyền điều khiển phiên của người dùng và cho phép truy cập liên tục vào các dịch vụ của Google ngay cả sau khi đặt lại mật khẩu.
13:00 | 17/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet, các nhà cung cấp dịch vụ công nghệ thông tin (CNTT) và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới được thực hiện bởi một nhóm tin tặc Türkiye-nexus có tên là (Rùa biển).
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024