Chiến dịch tấn công này có liên quan tới nhóm tin tặc DarkHydrus. Đây là nhóm tin tặc chuyên thực hiện các cuộc tấn công có chủ đích (Advanced Persistent Threat - APT), lợi dụng công cụ mã nguồn mở Phishery để thu thập thông tin chống lại các tổ chức chính phủ và giáo dục tại Trung Đông vào tháng 8/2018.
Vì đa số các công cụ bảo mật hoạt động bằng cách theo dõi lưu lượng mạng để phát hiện các địa chỉ IP độc hại, nên tin tặc đang hướng tới việc lợi dụng cơ sở hạ tầng của các dịch vụ hợp pháp trong các cuộc tấn công mạng. Trong chiến dịch tấn công này, tin tặc sử dụng một biến thể mới có tên Trojan RogueRobin để lây nhiễm vào máy tính của nạn nhân, bằng cách lừa người dùng mở một tệp tin Microsoft Excel đã nhúng macro VBA (Visual Basic for Applications) độc hại. Khi người dùng kích hoạt macro, một tệp văn bản .txt độc hại sẽ được lưu trong thư mục tạm thời và lợi dụng ứng dụng personas.exe để tự khởi chạy. Cuối cùng, Trojan RogueRobin được cài đặt vào máy tính của nạn nhân.
Trojan RogueRobin bao gồm nhiều chức năng như: ẩn mình; phát hiện sandbox; kiểm tra môi trường ảo hóa, bộ nhớ, số lượng bộ xử lý; phát hiện các công cụ phân tích phổ biến được chạy trên hệ thống; phát hiện anti-debug....
Giống phiên bản gốc, biến thể mới của RogueRobin cũng sử dụng DNS tunneling - một kỹ thuật gửi hoặc truy xuất dữ liệu và lệnh thông qua các gói truy vấn DNS để giao tiếp với máy chủ C&C. Ngoài ra, mã độc này còn đặt API Google Drive là kênh thay thế để gửi dữ liệu và nhận lệnh từ tin tặc.
Các chuyên gia nhận định, chiến dịch này cho thấy các nhóm tin tặc đang chuyển hướng nhiều hơn sang việc lợi dụng các dịch vụ hợp pháp làm cơ sở hạ tầng C&C một cách tinh vi để tránh bị phát hiện.
Cách tốt nhất để bảo vệ người dùng khỏi các cuộc tấn công này là luôn cảnh giác trước bất kỳ tài liệu lạ, chưa rõ nguồn gốc được gửi qua email. Đồng thời, không truy cập vào các liên kết trong tài liệu khi chưa xác minh được nguồn gửi.
ĐT
Theo WorldStar
16:00 | 24/09/2018
11:00 | 19/02/2019
09:00 | 31/05/2018
14:00 | 16/01/2024
23:00 | 03/03/2019
08:00 | 29/03/2019
10:00 | 28/03/2024
16:00 | 13/02/2019
09:54 | 07/08/2017
14:00 | 17/09/2024
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
10:00 | 25/06/2024
Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các “bản sửa lỗi” PowerShell nhằm cài đặt phần mềm độc hại.
14:00 | 31/05/2024
Các tác nhân đe dọa đang lạm dụng các plugin đoạn mã ít được biết đến hơn cho WordPress để chèn mã PHP độc hại vào các trang web có khả năng thu thập dữ liệu thẻ tín dụng.
Các trang web cửa hàng trực tuyến sử dụng Adobe Commerce và Magento đang là mục tiêu của các cuộc tấn công mạng có tên là CosmicSting với tốc độ đáng báo động, trong đó kẻ tấn công đã tấn công khoảng 5% tổng số cửa hàng.
17:00 | 10/10/2024