.jpg)
Các giai đoạn tấn công
Theo các nhà nghiên cứu, chiến dịch được phát hiện kéo dài từ tháng 4/2022 đến tháng 7/2023, bằng cách sử dụng một số tệp Microsoft Excel và PowerPoint độc hại để làm mồi nhử dụ dỗ nạn nhân kích vào, từ đó thực thi mã độc cho trình tải xuống có tên là “PicassoLoader”, hoạt động như một đường dẫn để khởi chạy Cobalt Strike Beacon và njRAT.
Các nhà nghiên cứu Vanja Svajcer của Cisco Talos cho biết: “Các cuộc tấn công đã sử dụng một chuỗi lây nhiễm nhiều tầng bắt đầu bằng các tài liệu Microsoft Office độc hại, phổ biến nhất là sử dụng các định dạng tệp Microsoft Excel và PowerPoint. Tiếp theo là một trình tải xuống có thể thực thi và payload được ẩn giấu trong một tệp hình ảnh, có khả năng khiến việc phát hiện trở nên khó khăn hơn”.
Nhóm Ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) quy kết một số hoạt động này cho nhóm tin tặc “GhostWriter” (còn gọi là UAC-0057 hoặc UNC1151), có liên quan đến Chính phủ Belarus. Điều đáng chú ý là một nhóm nhỏ các cuộc tấn công này đã được CERT-UA và Fortinet FortiGuard Labs ghi nhận trong năm qua, một trong số đó đã sử dụng các tài liệu PowerPoint chứa macro để phân phối mã độc Agent Tesla vào tháng 7/2022.
Dòng thời gian của các cuộc tấn công khác nhau
Chuỗi lây nhiễm nhằm mục đích thuyết phục nạn nhân kích hoạt macro, với macro VBA được thiết kế để loại bỏ trình tải xuống DLL được gọi là PicassoLoader, sau đó tiếp cận trang web do kẻ tấn công kiểm soát để thực thi payload giai đoạn tiếp theo, một tệp hình ảnh hợp pháp được nhúng vào tệp cuối cùng của phần mềm độc hại. Tiết lộ được đưa ra khi CERT-UA nêu chi tiết một số hoạt động lừa đảo phân phối mã độc SmokeLoader cũng như một cuộc tấn công giả mạo được thiết kế để giành quyền kiểm soát trái phép tài khoản Telegram của mục tiêu.
Tháng trước, CERT-UA cũng đã tiết lộ một chiến dịch gián điện mạng nhằm vào các tổ chức chính phủ và cơ quan truyền thông ở Ukraine khi sử dụng email và tin nhắn để phân phối tệp độc hại. Nếu được khởi chạy sẽ dẫn đến việc thực thi tập lệnh PowerShell có tên “LONEPAGE” để tìm nạp payload trong giai đoạn tiếp theo như trình đánh cắp trình duyệt “THUMBCHOP” và keylogger “CLOGFLAG”.
GhostWriter là một trong số nhiều tác nhân đe dọa đã nhắm đến Ukraine, trong đó bao gồm nhóm tin tặc APT28, đã sử dụng tệp đính kèm HTML trong email lừa đảo để nhắc người nhận thay đổi mật khẩu của họ trên UKR.NET và Yahoo! với cảnh báo phát hiện các hoạt động đáng ngờ trong tài khoản của họ, điều này sẽ chuyển hướng đến các trang đích không có thật và từ đó tin tặc có thể đánh cắp thông tin đăng nhập của người dùng.
Hữu Tài
(Theo Thehackernews)
13:00 | 11/07/2023
09:00 | 13/07/2023
14:00 | 30/11/2023
09:00 | 25/10/2023
10:00 | 10/07/2023
14:00 | 23/11/2023
14:00 | 20/02/2025
Nhà nghiên cứu bảo mật Jeremiah Fowler đã phát hiện cơ sở dữ liệu không được bảo vệ, chứa gần 2,7 tỷ bản ghi của công ty Mars Hydro (Trung Quốc). Đây là công ty chuyên sản xuất các thiết bị IoT như đèn LED, thiết bị thủy canh. Các bản ghi bao gồm tên mạng Wi-Fi, mật khẩu, địa chỉ IP, số thiết bị...
10:00 | 13/02/2025
Các nhà nghiên cứu của công ty phần mềm an ninh mạng và diệt virus Bitdefender (Romania) đã tìm hiểu về nhóm tin tặc Lazarus có liên quan đến Triều Tiên, hiện đang sử dụng một hình thức tấn công mới thông qua các lời mời làm việc giả mạo trên LinkedIn trong lĩnh vực tiền điện tử và du lịch để phát tán phần mềm đánh cắp JavaScript đa nền tảng nhắm vào các ví tiền điện tử.
22:00 | 31/01/2025
Apple vừa phát đi thông báo khẩn cấp, khuyến cáo người dùng iPhone nên cập nhật phần mềm ngay lập tức để vá lỗi và bảo vệ dữ liệu cá nhân.
09:00 | 24/01/2025
Nhiều người dùng macOS cho rằng kiến trúc dựa trên Unix của nền tảng này và thị phần sử dụng thấp hơn so với Windows, khiến nó trở thành mục tiêu kém hấp dẫn đối với tội phạm mạng và do đó có khả năng ít bị lây nhiễm phần mềm độc hại. Mặc dù macOS có bao gồm các tính năng bảo mật mạnh mẽ như Gatekeeper, XProtect và sandbox, nhưng sự gia tăng hoạt động gần đây của phần mềm đánh cắp thông tin Banshee đóng vai trò như một lời nhắc nhở rằng không có hệ điều hành nào miễn nhiễm với các mối đe dọa.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Google đã kịp thời khắc phục một lỗ hổng bảo mật nghiêm trọng trên thiết bị USB, giúp hơn một tỷ thiết bị Android thoát khỏi nguy cơ bị tấn công.
11:00 | 11/03/2025
