Tin tặc Nga sử dụng DropBox và Google Drive để lây nhiễm mã độc

13:00 | 02/08/2022 | HACKER / MALWARE

Nhóm tin tặc APT29 được cho là có liên quan đến Cơ quan Tình báo Đối ngoại Liên bang Nga (SVR) đã tiến hành một chiến dịch lừa đảo lợi dụng các dịch vụ đám mây hợp pháp như Google Drive và Dropbox để lây nhiễm mã độc trên các hệ thống mục tiêu.

Theo công ty an ninh mạng Palo Alto Networks (Mỹ), chiến dịch này nhắm vào một số cơ quan ngoại giao phương Tây trong khoảng thời gian từ tháng 5 đến tháng 6/2022, bao gồm cả đại sứ quán nước ngoài ở Bồ Đào Nha và Brazil.

Tin tặc đã gửi những email độc hại mô phỏng nội dung liên quan đến các cuộc họp với các đại sứ. Nhưng trên thực tế, mục đích là lây nhiễm các tệp độc hại vào hệ thống mạng được nhắm mục tiêu thông qua những email này.

APT29 còn được biết đến với các tên gọi như Nobelium, Cozy Bear, Cloaked Ursa hay The Dukes, là một nhóm gián điệp mạng có tổ chức hoạt động từ năm 2014, với nhiệm vụ thu thập thông tin tình báo phù hợp với các mục tiêu chiến lược của Nga. Nhóm này cũng được xác định là có liên quan đến cuộc tấn công chuỗi cung ứng nổi tiếng SolarWinds vào năm 2020.

Tin tặc Nga sử dụng DropBox và Google Drive để lây nhiễm mã độc

Các giai đoạn của chiến dịch lừa đảo của nhóm APT29

Các vụ xâm nhập gần đây là tiếp nối của các chiến dịch trước, trong đó sử dụng các email lừa đảo trực tuyến để triển khai Cobalt Strike Beacons bằng một tệp đính kèm HTML độc hại, được gọi là EnvyScout (hay ROOTSAW). Điểm khác biệt trong chiến dịch lần này là việc sử dụng các dịch vụ đám mây như Dropbox và Google Drive để tránh bị phát hiện, che giấu hành vi và đưa mã độc hại vào môi trường mục tiêu.

EnvyScout đóng vai trò như một công cụ phụ trợ để lây nhiễm thêm nhiều mục tiêu theo tùy chọn của tin tặc. Trong trường hợp này là một tệp thực thi .NET được che giấu trong nhiều lớp làm rối (obfuscation) và được sử dụng để lọc thông tin hệ thống cũng như thực thi mã nhị phân (binary) giai đoạn tiếp theo, chẳng hạn như Cobalt Strike được tìm nạp từ Google Drive.

Các tin tặc sử dụng EnvyScount để giải mã nội dung của một tệp ISO độc hại, kỹ thuật này được gọi là HTML Smuggling. Cụ thể, tệp Agenda[.]html sẽ chịu trách nhiệm giải mã payload và cũng để ghi tệp ISO độc hại vào ổ cứng của nạn nhân. Sau khi hoàn tất, tệp payload này được lưu với tên gọi là Agenda.iso.

Payload được đóng gói thành tệp ISO độc hại

Khi ISO đã được tải xuống, cần có sự tương tác của người dùng để thực thi mã độc trên hệ thống mục tiêu. Người dùng phải nhấp đúp vào tệp ISO, sau đó chọn vào tệp Information[.]lnk, khi đó chuỗi lây nhiễm mới được bắt đầu. Theo các nhà nghiên cứu của Palo Alto Networks kết luận rằng, việc sử dụng các dịch vụ DropBox hay Google Drive,… là chiến thuật mới của tin tặc và rất khó để bị phát hiện, do tính chất phổ biến của các dịch vụ này với hàng triệu khách hàng sử dụng trên toàn thế giới.

Nhà nghiên cứu bảo mật Wilson Fleming, cựu nhân viên của Palo Alto Networks khuyến nghị các tổ chức nên chọn một dịch vụ duy nhất, thay vì sử dụng các môi trường kết hợp. Ngoài ra, ông cũng khuyên người dùng nên sử dụng phiên bản dành cho doanh nghiệp của các dịch vụ như vậy, vì nó cho phép tổ chức chủ động kiểm soát và giảm thiểu nguy cơ bị tấn công.

Đinh Hồng Đạt

‹ › ×

Tin liên quan

Nhóm tin tặc Gallium tấn công mạng bằng mã độc PingPull

08:00 | 23/06/2022

Nhóm tin tặc Gallium được cho là có nguồn gốc từ Trung Quốc đã sử dụng trái phép trojan truy cập từ xa (RAT) để tấn công gián điệp mạng vào các mục tiêu ở Đông Nam Á, Châu Âu và Châu Phi.

Tại sao tin tặc gia tăng sử dụng Telegram?

13:00 | 24/08/2022

Các nền tảng tin nhắn như Telegram đang cung cấp cơ hội cho tin tặc lưu trữ, phân phối và thực thi đa dạng các chức năng, để đánh cắp thông tin từ những nạn nhân mất cảnh giác. Nhưng đó không chỉ là mục tiêu duy nhất mà tin tặc đã lợi dụng Telegram cho các hoạt động xấu của chúng.

Tin tặc sử dụng kỹ thuật mới để phát tán phần mềm độc hại Emotet

08:00 | 23/05/2022

Theo nghiên cứu của các chuyên gia từ nhà cung cấp an ninh mạng Proofpoint (California), nhóm tin tặc điều hành mạng botnet Emotet đang thử nghiệm các phương pháp kỹ thuật tấn công và quy trình mới cho các chiến dịch tấn công có chọn lọc và quy mô hạn chế trước khi áp dụng chúng trong các chiến dịch lớn hơn.

Cách thức tin tặc sử dụng các ứng dụng nhắn tin để đánh cắp dữ liệu

14:00 | 31/08/2022

Các nhà nghiên cứu tại Công ty an ninh mạng Intel 471 (Hoa Kỳ) cho biết, các tin tặc đã lợi dụng ứng dụng nhắn tin như Telegram và Discord để tiến hành khai thác một chương trình có tên gọi bot, với mục đích phát tán mã độc và đánh cắp dữ liệu nhạy cảm của người dùng.

Tăng cường bảo mật tệp lưu trữ trên Google Drive

10:00 | 28/03/2024

Google Drive là một trong những nền tảng lưu trữ đám mây được sử dụng nhiều nhất hiện nay, cùng với một số dịch vụ khác như Microsoft OneDrive và Dropbox. Tuy nhiên, chính sự phổ biến này là mục tiêu để những kẻ tấn công tìm cách khai thác bởi mục tiêu ảnh hưởng lớn đến nhiều đối tượng. Bài báo này sẽ cung cấp những giải pháp cần thiết nhằm tăng cường bảo mật khi lưu trữ tệp trên Google Drive để bảo vệ an toàn dữ liệu của người dùng trước các mối đe dọa truy cập trái phép và những rủi ro tiềm ẩn khác.

Nhóm tin tặc TA428 sử dụng backdoor mới trong các cuộc tấn công có chủ đích

10:00 | 19/08/2022

Các nhà nghiên cứu vừa phát hiện một loạt các cuộc tấn công diễn ra đầu năm nay sử dụng phần mềm độc hại trên Windows mới để giám sát các tổ chức chính phủ trong ngành công nghiệp quốc phòng của một số quốc gia ở Đông Âu.

Tin tặc Nga xâm phạm các hệ thống mạng thông tin quan trọng của Pháp

14:00 | 08/11/2023

Theo báo cáo mới được công bố từ Cơ quan An ninh hệ thống thông tin quốc gia Pháp (Agence Nationale de la sécurité des systèmes d'information-ANSSI) điều tra về các hoạt động của nhóm gián điệp mạng cho biết, nhóm tin tặc APT28 của Nga (còn được gọi là Strontium hoặc Fancy Bear) đã nhắm mục tiêu vào các tổ chức chính phủ, doanh nghiệp, trường đại học, viện nghiên cứu và tổ chức nghiên cứu ở Pháp kể từ nửa cuối năm 2021.

Phần mềm độc hại DirtyMoe lây nhiễm hơn 2.000 máy tính tại Ukraine

13:00 | 07/02/2024

Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.

Phát hiện phần mềm độc hại mới đánh cắp tài khoản YouTube

14:00 | 19/07/2022

Công ty Intezer (New York) đã phát hiện phần mềm độc hại YTStealer, nhắm mục tiêu duy nhất là đánh cắp thông tin đăng nhập của những người sáng tạo nội dung trên Youtube.

Phân tích kỹ thuật lây nhiễm của mã độc Shikitega

14:00 | 29/09/2022

Vừa qua, một mã độc tàng hình mới có tên là Shikitega đã được phát hiện thông qua một chuỗi lây nhiễm nhiều giai đoạn với mục tiêu gửi các payload độc hại tới hệ điều hành Linux và các thiết bị IoT. Bài báo này tập trung trình bày về kỹ thuật lây nhiễm của loại mã độc mới trên Linux này.

Mã độc sử dụng kỹ thuật DLL Side-Loading

09:00 | 13/06/2022

DLL Side-Loading là một trong những kỹ thuật của DLL Hijacking được các tin tặc lợi dụng bằng cách thêm vào tính năng cho mã độc nhằm mục đích vượt qua chương trình diệt virus và các công cụ bảo mật của Windows. Bằng cách chiếm đoạt thứ tự tìm kiếm DLL của một ứng dụng hợp pháp, DLL chứa mã độc sẽ được gọi ngay khi ứng dụng đó được mở. Khi đó, mã độc sẽ được kích hoạt một cách hợp pháp trên máy tính nạn nhân. Tin tặc có thể lợi dụng phương pháp này để tiến hành tấn công vào các cơ quan, tổ chức để đánh cắp thông tin, dữ liệu quan trọng. Bài báo đưa ra phương pháp tiêm mã độc vào DLL của một ứng dụng hợp lệ, có chữ ký số của Microsoft.

Tin cùng chuyên mục

Công bố chi tiết lỗ hổng Zero-Click Shortcut mới được phát hiện gần đây của Apple

09:00 | 08/03/2024

Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.

Lỗ hổng nghiêm trọng trong Jenkins dẫn đến thực thi mã từ xa

09:00 | 01/02/2024

Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.

29 họ phần mềm độc hại nhắm mục tiêu 1.800 ứng dụng ngân hàng trên toàn thế giới

14:00 | 16/01/2024

Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.

Giải mã Ducktail: Phần mềm độc hại có nguồn gốc từ Việt Nam

07:00 | 11/12/2023

Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.