Chỉ trong vài tháng trở lại đây, an ninh mạng của Mỹ đã bị ảnh hưởng nghiêm trọng vì liên tiếp phải hứng chịu các đợt tấn công của mã độc tống tiền (ransomware). Tin tặc đang cố gắng tận dụng cuộc khủng hoảng tấn công tống tiền công ty Kaseya để tấn công vào các nạn nhân tiềm năng, trong một chiến dịch thư rác đính kèm mã độc Cobalt Strike được ngụy trang thành các bản cập nhật bảo mật Kaseya VSA.
Cobalt Strike là một công cụ kiểm tra thâm nhập hợp pháp và phần mềm mô phỏng mối đe dọa. Tin tặc thường sử dụng cho các nhiệm vụ sau khai thác và triển khai beacon cho phép chúng truy cập từ xa vào các hệ thống bị xâm phạm. Mục tiêu cuối cùng của các cuộc tấn công như vậy là thu thập và trích xuất dữ liệu nhạy cảm hoặc triển khai một phần mềm độc hại ở giai đoạn tiếp theo.
Các nhà nghiên cứu tại Malwarebytes Threat Intelligence đã phát hiện ra chiến dịch thư rác sử dụng hai chiến thuật khác nhau để phát tán Cobalt Strike.
Các email độc hại được gửi trong chiến dịch này gắn với tệp đính kèm độc hại và một liên kết nhúng được thiết kế trông giống như một bản vá của Microsoft cho Kaseya VSA zero-day bị khai thác trong cuộc tấn công ransomware REvil. Qua đó, tin tặc có được quyền truy cập từ xa vào hệ thống mục tiêu sau khi người dùng chạy tệp đính kèm độc hại hoặc tải xuống và khởi chạy bản cập nhật Microsoft giả mạo trên thiết bị của mình.
Thư giả mạo được gửi tới nạn nhân
Kaseya cho biết họ không thể triển khai bản cập nhật bản vá cho VSA zero-day do REvil khai thác, nhiều khách hàng của Kaseya có thể mắc bẫy trong chiến dịch lừa đảo này.
Trước đó vào tháng 6/2021, tin tặc cũng đã sử dụng các bản cập nhật hệ thống giả mạo, tuyên bố giúp phát hiện và chặn việc lây nhiễm ransomware sau cuộc tấn công Colonial Pipeline. Cũng giống như chiến dịch malspam, chiến dịch lừa đảo này cũng sử dụng các phần mềm độc hại được thiết kế để triển khai công cụ kiểm tra thâm nhập Cobalt Strike.
Các nhà nghiên cứu của INKY đã phát hiện ra các cuộc tấn công cho biết, các email lừa đảo đi kèm với thời hạn cài đặt các bản cập nhật giả mạo để tăng thêm tính cấp bách. Các trang tải xuống payload cũng được tùy chỉnh bằng cách sử dụng giao diện giống với của công ty mục tiêu để làm cho chúng có vẻ đáng tin cậy.
Hai chiến dịch này nhấn mạnh rằng các tác nhân đe dọa trong hoạt động kinh doanh lừa đảo theo dõi các tin tức mới nhất để thúc đẩy các chiêu dụ có liên quan đến các sự kiện gần đây nhằm tăng tỷ lệ thành công cho các chiến dịch của mình.
Việc lợi dụng các nạn nhân đang trong tình trạng hoảng loạn trước các cuộc tấn công lớn đang tăng lên trong thời gian gần đây. Các công ty, tổ chức và cá nhân cẩn cẩn trọng trước các thông tin liên quan đến các cuộc tấn công này. Điều quan trọng nhất là luôn duy trì các hệ thống, chính sách bảo mật chống lại các email lừa đảo và có đính kèm mã độc.
Đăng Thứ
15:00 | 11/06/2021
17:00 | 09/08/2021
13:00 | 11/06/2021
17:00 | 28/07/2021
15:00 | 09/06/2021
09:00 | 10/02/2025
Một lỗ hổng bảo mật mới được vá trong công cụ lưu trữ 7-Zip đã bị khai thác để phát tán phần mềm độc hại SmokeLoader.
08:00 | 02/01/2025
Mới đây, hãng bảo mật McAfee đã phát hiện một ứng dụng độc hại có chứa mã gián điệp trên Amazon Appstore. Theo thông tin được công bố, ứng dụng độc hại dùng để tính chỉ số khối cơ thể (BMI) nhưng lại được cài cắm phần mềm gián điệp, có khả năng ghi lại màn hình và truy cập danh sách các ứng dụng của người dùng.
12:00 | 26/12/2024
Giữa tháng 12/2024, giới chức bang Rhode Island của Mỹ cho biết, một nhóm tin tặc quốc tế có thể đã đánh cắp hàng trăm nghìn dữ liệu cá nhân và ngân hàng của cư dân bang này, đồng thời đòi tiền chuộc.
09:00 | 29/10/2024
Công ty nghiên cứu bảo mật ESET mới đây đã đưa ra cảnh báo về việc tin tặc tấn công một đối tác của họ tại Israel để mạo danh thương hiệu này nhằm phát tán mã độc.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Một lỗ hổng bảo mật trong Bypass SAML trên GitHub Enterpris định danh CVE-2025-23369 có điểm CVSS là 7,6 vừa được công bố, cho phép kẻ tấn công bỏ qua cơ chế xác thực SAML trên GitHub Enterprise.
08:00 | 19/02/2025
