Các nhà nghiên cứu của công ty tư vấn rủi ro và điều tra doanh nghiệp Kroll (Mỹ) cho biết: "Khi ở trong mạng, CACTUS cố gắng liệt kê các tài khoản người dùng và thiết bị mạng đầu cuối có thể truy cập trước khi tạo tài khoản người dùng mới, sau đó tận dụng các tập lệnh tùy chỉnh để tự động triển khai và kích hoạt bộ mã hóa ransomware thông qua các tác vụ theo lịch trình". Sau khi khai thác thành công các thiết bị VPN dễ bị tổn thương, một cửa hậu SSH được thiết lập để duy trì quyền truy cập liên tục và một loạt các lệnh PowerShell được thực thi để tiến hành quét mạng và xác định danh sách các máy để mã hóa.
Các cuộc tấn công CACTUS cũng sử dụng Cobalt Strike và một công cụ có tên là Chisel để ra lệnh và kiểm soát, cùng với phần mềm quản lý và giám sát từ xa (RMM) như AnyDesk để đẩy các tệp đến máy chủ bị nhiễm mã độc. Sau đó tin tặc thực hiện các bước để vô hiệu hóa và gỡ cài đặt các giải pháp bảo mật cũng như trích xuất thông tin đăng nhập từ trình duyệt web và dịch vụ hệ thống để leo thang đặc quyền. Việc leo thang đặc quyền được thực hiện thành công nhờ chuyển động ngang, lọc dữ liệu và triển khai phần mềm tống tiền, bước cuối cùng đạt được bằng tập lệnh PowerShell cũng đã được Black Basta sử dụng.
Một khía cạnh mới của CACTUS là việc sử dụng tập lệnh để trích xuất mã nhị phân ransomware bằng 7-Zip, sau đó xóa tệp lưu trữ .7z trước khi thực thi. CACTUS có thể tự mã hóa, khiến nó khó bị phát hiện hơn và giúp trốn tránh các công cụ giám sát mạng và chống virus.
Công ty phần mềm an ninh mạng Trend Micro (Nhật Bản) nhận định: "Biến thể ransomware mới có tên CACTUS tận dụng lỗ hổng trong thiết bị VPN, cho thấy các tác nhân đe dọa tiếp tục nhắm mục tiêu vào các dịch vụ truy cập từ xa và các lỗ hổng chưa được vá để tiến hành truy cập". Nhận định này được đưa ra vài ngày sau khi Trend Micro làm sáng tỏ một loại ransomware khác có tên là Rapture có một số điểm tương đồng. CACTUS và Rapture là những cái tên mới nhất bổ sung vào danh sách dài các họ ransomware mới được đưa ra ánh sáng trong thời gian gần đây, bao gồm Gazprom , BlackBit , UNIZA , Akira và một biến thể ransomware NoCry có tên là Kadavro Vector.
Trường An
(Theo The Hacker News)
10:00 | 07/07/2023
13:00 | 09/05/2023
13:00 | 04/08/2023
14:00 | 14/04/2023
09:00 | 05/06/2023
13:00 | 19/05/2021
12:00 | 18/05/2022
10:00 | 11/08/2023
Mới đây, Daniel Moghimi, chuyên gia bảo mật của Google phát hiện ra lỗ hổng Downfall ảnh hưởng đến hàng tỉ bộ xử lý Intel trên toàn cầu hiện đang được sử dụng trên máy tính cá nhân và máy chủ đám mây.
09:00 | 08/08/2023
Các chuyên gia an ninh mạng tại nhóm bảo mật MalwareHunterTeam gần đây đã phát hiện hoạt động mới của mã độc tống tiền Abyss Locker, được thiết kế nhằm phát triển bộ mã hóa Linux để nhắm mục tiêu đến nền tảng máy ảo ESXi của VMware trong các cuộc tấn công vào doanh nghiệp.
16:00 | 21/07/2023
Các nhà nghiên cứu thuộc nhóm tình báo Talos của Cisco đã phát hiện một số chiến dịch tấn công mạng gần đây nhắm vào các tổ chức chính phủ, quân sự và dân sự tại Ukraine và Ba Lan để thực hiện đánh cắp thông tin dữ liệu nhạy cảm để giành quyền truy cập từ xa vào các hệ thống bị lây nhiễm.
15:00 | 12/07/2023
Ngày 10/7, Chính phủ Litva thông báo nước này đã hứng chịu loạt vụ tấn công mạng chỉ một ngày trước khi Hội nghị thượng đỉnh Tổ chức Hiệp ước Bắc Đại Tây Dương (NATO) diễn ra tại đây.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
VMware Aria Operations for Networks là một công cụ giám sát, khám phá và phân tích mạng cũng như ứng dụng để xây dựng cơ sở hạ tầng mạng an toàn trên nền tảng điện toán đám mây cho các doanh nghiệp. Mới đây, mã khai thác PoC cho một lỗ hổng nghiêm trọng ảnh hưởng đến VMware Aria Operations for Networks đã được công bố. Hiện hãng đã phát hành các bản sửa lỗi cho lỗ hổng.
15:00 | 20/09/2023
