Chỉ trong vài tháng trở lại đây, an ninh mạng của Mỹ đã bị ảnh hưởng nghiêm trọng vì liên tiếp phải hứng chịu các đợt tấn công của mã độc tống tiền (ransomware). Tin tặc đang cố gắng tận dụng cuộc khủng hoảng tấn công tống tiền công ty Kaseya để tấn công vào các nạn nhân tiềm năng, trong một chiến dịch thư rác đính kèm mã độc Cobalt Strike được ngụy trang thành các bản cập nhật bảo mật Kaseya VSA.
Cobalt Strike là một công cụ kiểm tra thâm nhập hợp pháp và phần mềm mô phỏng mối đe dọa. Tin tặc thường sử dụng cho các nhiệm vụ sau khai thác và triển khai beacon cho phép chúng truy cập từ xa vào các hệ thống bị xâm phạm. Mục tiêu cuối cùng của các cuộc tấn công như vậy là thu thập và trích xuất dữ liệu nhạy cảm hoặc triển khai một phần mềm độc hại ở giai đoạn tiếp theo.
Các nhà nghiên cứu tại Malwarebytes Threat Intelligence đã phát hiện ra chiến dịch thư rác sử dụng hai chiến thuật khác nhau để phát tán Cobalt Strike.
Các email độc hại được gửi trong chiến dịch này gắn với tệp đính kèm độc hại và một liên kết nhúng được thiết kế trông giống như một bản vá của Microsoft cho Kaseya VSA zero-day bị khai thác trong cuộc tấn công ransomware REvil. Qua đó, tin tặc có được quyền truy cập từ xa vào hệ thống mục tiêu sau khi người dùng chạy tệp đính kèm độc hại hoặc tải xuống và khởi chạy bản cập nhật Microsoft giả mạo trên thiết bị của mình.
Thư giả mạo được gửi tới nạn nhân
Kaseya cho biết họ không thể triển khai bản cập nhật bản vá cho VSA zero-day do REvil khai thác, nhiều khách hàng của Kaseya có thể mắc bẫy trong chiến dịch lừa đảo này.
Trước đó vào tháng 6/2021, tin tặc cũng đã sử dụng các bản cập nhật hệ thống giả mạo, tuyên bố giúp phát hiện và chặn việc lây nhiễm ransomware sau cuộc tấn công Colonial Pipeline. Cũng giống như chiến dịch malspam, chiến dịch lừa đảo này cũng sử dụng các phần mềm độc hại được thiết kế để triển khai công cụ kiểm tra thâm nhập Cobalt Strike.
Các nhà nghiên cứu của INKY đã phát hiện ra các cuộc tấn công cho biết, các email lừa đảo đi kèm với thời hạn cài đặt các bản cập nhật giả mạo để tăng thêm tính cấp bách. Các trang tải xuống payload cũng được tùy chỉnh bằng cách sử dụng giao diện giống với của công ty mục tiêu để làm cho chúng có vẻ đáng tin cậy.
Hai chiến dịch này nhấn mạnh rằng các tác nhân đe dọa trong hoạt động kinh doanh lừa đảo theo dõi các tin tức mới nhất để thúc đẩy các chiêu dụ có liên quan đến các sự kiện gần đây nhằm tăng tỷ lệ thành công cho các chiến dịch của mình.
Việc lợi dụng các nạn nhân đang trong tình trạng hoảng loạn trước các cuộc tấn công lớn đang tăng lên trong thời gian gần đây. Các công ty, tổ chức và cá nhân cẩn cẩn trọng trước các thông tin liên quan đến các cuộc tấn công này. Điều quan trọng nhất là luôn duy trì các hệ thống, chính sách bảo mật chống lại các email lừa đảo và có đính kèm mã độc.
Đăng Thứ
15:00 | 11/06/2021
17:00 | 09/08/2021
13:00 | 11/06/2021
17:00 | 28/07/2021
15:00 | 09/06/2021
09:00 | 26/02/2025
Từ ngày 22 - 25/1/2025, trong khuôn khổ Pwn2Own Automotive 2025 - một cuộc thi hackathon tập trung vào an ninh mạng trong các hệ thống ô tô diễn ra tạiTokyo, các nhà nghiên cứu bảo mật từ 13 quốc gia đã phát hiện và công bố tổng cộng 49 lỗ hổng zero-day mới trong các hệ thống ô tô hiện có.
09:00 | 01/02/2025
Redis - Hệ thống lưu trữ dữ liệu NoSQL mã nguồn mở phổ biến vừa phát hiện tồn tại 2 lỗ hổng bảo mật đe dọa đến hàng triệu người dùng.
13:00 | 25/12/2024
Năm 2024 sắp kết thúc, hãy cùng điểm lại những sự cố công nghệ nghiêm trọng nhất xảy ra trong năm qua, ảnh hưởng đến hàng tỷ người trên toàn cầu.
11:00 | 05/12/2024
Hãng viễn thông Hoa Kỳ T-Mobile đã xác nhận rằng công ty cũng nằm trong số các công ty bị các tác nhân đe dọa từ Trung Quốc nhắm tới để truy cập vào thông tin có giá trị.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.
11:00 | 11/03/2025
