Emotet nhắm mục tiêu vào các nền tảng Windows để phát tán phần mềm độc hại và được coi là một trong những mối đe dọa tội phạm mạng phổ biến nhất trước khi bị các cơ quan thực thi pháp luật toàn cầu phá vỡ vào tháng 1/2021.
Sau 10 tháng gián đoạn, nó đã hoạt động trở lại mạnh mẽ hơn từ tháng 11/2021 và nhắm mục tiêu đến hàng nghìn người dùng với hàng chục nghìn tin nhắn ở các quốc gia khác nhau, với hơn một triệu tin nhắn được gửi đi trong mỗi chiến dịch trong một số trường hợp nhất định.
Tuy nhiên, một loạt các hoạt động được phát hiện trong khoảng thời gian từ ngày 4/4 đến ngày 19/4/2022 đã cho thấy một sự khác biệt đáng kể so với các hành vi tấn công điển hình của Emotet. Các chuyên gia cho rằng các vụ tấn công này là do nhóm tội phạm mạng TA542 (hay còn gọi là Mummy Spider hoặc Gold Crestwood) thực hiện. Hoạt động được diễn ra khi các chiến dịch phát tán Emotet quy mô lớn khác bị tạm dừng hoạt động.
Theo Proofpoint, chiến dịch email với quy mô nhỏ này liên quan đến việc sử dụng các nội dung phát tán theo chủ đề tiền lương và các email được nhắm mục tiêu chỉ chứa URL OneDrive chứ không có nội dung nào khác. Các URL OneDrive lưu trữ các tệp nén ZIP có chứa các tệp Microsoft Excel Add-in (XLL) khi được thực thi, mã độc phân phối Emotet sẽ bắt đầu hoạt động.
Phương thức lây lan sử dụng macro trong các tệp Microsoft Word và Exel đã không còn được sử dụng. Điều này cho thấy, tin tặc đang tích cực thay đổi và phát triển các cách thức tấn công mới để đối phó với kế hoạch chặn macro VBA của Microsoft theo mặc định bắt đầu từ tháng 4/2022.
Chia sẻ về những phát hiện này, Sherrod DeGrippo, Phó Chủ tịch Nghiên cứu và Phát hiện mối đe dọa tại Proofpoint cho biết: "Sau nhiều tháng hoạt động ổn định, Emotet đang chuyển đổi mọi thứ. Có khả năng tin tặc đang thử nghiệm các kỹ thuật mới ở quy mô nhỏ trước khi phân phối chúng đến nạn nhân trên phạm vi rộng hơn hoặc phân phối thông qua các TTP mới cùng với các chiến dịch quy mô lớn hơn. Các tổ chức nên biết các kỹ thuật mới và cần thực hiện triển khai các biện pháp phòng thủ cho phù hợp".
Nguyễn Chân
11:00 | 08/02/2021
09:54 | 07/08/2017
13:00 | 02/08/2022
17:00 | 20/06/2022
15:00 | 27/06/2022
14:00 | 19/07/2022
12:00 | 12/08/2022
10:00 | 08/04/2022
16:00 | 15/04/2024
Cisco đã chia sẻ một bộ hướng dẫn dành cho khách hàng nhằm giảm thiểu các cuộc tấn công password spray đang nhắm mục tiêu vào các dịch vụ VPN truy cập từ xa (RAVPN) được cấu hình trên các thiết bị tường lửa bảo mật của Cisco.
09:00 | 03/04/2024
Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.
16:00 | 15/03/2024
Ngày 11/3, Văn phòng Thủ tướng Pháp thông báo một số cơ quan nhà nước của Pháp đã bị tấn công mạng với cường độ chưa từng có đồng thời nhấn mạnh rằng chính phủ đã có thể hạn chế tác động từ vụ việc này.
14:00 | 19/02/2024
Tin tặc có thể giành quyền truy cập root trên nhiều bản phân phối chính của Linux trong cấu hình mặc định bằng cách khai thác lỗ hổng leo thang đặc quyền cục bộ mới được tiết lộ trong Thư viện GNU C (glibc).
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024