Để xây dựng uy tín và kết nối với các nhà nghiên cứu bảo mật, các đối tượng đã thành lập một blog chuyên đăng các nghiên cứu về khai thác lỗ hổng với nhiều tài khoản Twitter để tương tác với các mục tiêu tiềm năng. Chúng sử dụng các tài khoản Twitter này để đăng các liên kết đến blog của chúng, đăng video về các thành tích được tuyên bố của chúng để khuếch đại và đăng lại các bài đăng từ các tài khoản khác mà chúng kiểm soát.
Hình 1: Các tài khoản của tác nhân đứng đằng sau chiến dịch
Blog của chúng chứa các bài viết và phân tích các lỗ hổng đã được tiết lộ công khai, bao gồm các bài đăng từ những chuyên gia bảo mật chưa từng được biết đến nhằm tạo thêm uy tín với các nhà nghiên cứu bảo mật khác.
Các chuyên gia từ Google không khẳng định về tính chính xác của các bài nghiên cứu trên blog, nhưng họ đã phát hiện ra có một trong số các video đăng tải về mã khai thác của họ là giả mạo. Ví dụ video về CVE-2021-1647 khai thác lỗ hổng Windows Defender, khi rất nhiều chuyên gia khẳng định đây là giả mạo thì tác giả của video lại dùng một tài khoản Twitter khác để khẳng định video này là thật.
Hình 2: Các bài twitter khẳng định uy tín của video giả mạo
Các tác nhân được theo dõi cho thấy, chúng nhắm mục tiêu vào các nhà nghiên cứu bảo mật bằng các phương pháp kỹ thuật xã hội mới. Sau khi liên lạc được với các nhà bảo mật, tác nhân sẽ hỏi nhà nghiên cứu xem họ có muốn hợp tác để nghiên cứu lỗ hổng với nhau hay không và cung cấp cho nhà nghiên một dự án Visual Studio. Bên trong Visual Studio là mã nguồn để khai thác lỗ hổng cùng với một tập DLL đính kèm được thực thi thông qua Visual Studio Build Events. Tập tin DLL là mã độc tuỳ chỉnh sẽ kết nối và nhận lệnh từ tên miền do tác nhân kiểm soát.
Hình 3: Lệnh để khởi chạy mã độc đính kèm
Ngoài việc nhắm mục tiêu người dùng thông qua kỹ thuật xã hội, các chuyên gia TAG cũng đã quan sát thấy một số trường hợp máy tính của các nhà nghiên cứu đã bị xâm nhập sau khi truy cập blog của các tác nhân. Trong các trường hợp này, các nhà nghiên cứu đã theo một liên kết trên Twitter tới một bài viết được lưu trữ trên blog.br0vvnn[.]io. Ngay sau đó, một dịch vụ độc hại đã được cài đặt trên máy tính của nhà nghiên cứu, một backdoor trong bộ nhớ sẽ bắt đầu kết nối một máy chủ điều khiển và chạy lệnh được định sẵn. Điều nguy hiểm ở đây là các nhà nghiên cứu đều dùng trình duyệt Chrome và hệ điều hành Windows mới nhất, được cập nhật đầy đủ.
Các chuyên gia không xác định được lỗ hổng của Chrome mà tác nhân đang khai thác nên dự kiến lỗ hổng sẽ còn được sử dụng để khai thác trong các chiến dịch khác. Các chuyên gia cũng khuyến cáo nếu người dùng truy cập vào trang web trên, thì nên cài đặt lại ngay máy tính của mình, cũng như thực hiện đổi mật khẩu các tài khoản quan trọng ngay lập tức.
Đăng Thứ (theo Google)
15:00 | 03/07/2014
17:00 | 02/04/2021
09:00 | 26/01/2021
08:00 | 17/07/2019
16:00 | 26/03/2024
Theo nhận định của các chuyên gia, Công ty chứng khoán VNDIRECT có thể đã bị tin tặc tấn công bằng hình thức mã độc tống tiền. Cho đến chiều 26/3, hệ thống của VNDIRECT và một số hệ thống liên quan vẫn trong trạng thái ngừng trệ hoạt động.
08:00 | 21/03/2024
Phần mềm độc hại mới trên Linux có tên là GTPDOOR được thiết kế để nhắm mục tiêu vào các mạng viễn thông dựa trên khai thác giao thức đường hầm trên GPRS (GPRS Tunneling Protocol-GTP) để thực thi câu lệnh và điều khiển (C2).
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
14:00 | 23/02/2024
Trong thời đại kỹ thuật số phát triển như hiện nay, tấn công phishing đã trở thành một mối đe dọa rất khó phòng tránh đối với người dùng mạng. Theo báo cáo của Tổ chức toàn cầu về chống lừa đảo trên mạng (Anti-Phishing Working Group), trong quý IV/2022, đã có hơn 304.000 trang web phishing được phát hiện, lừa đảo hơn 300 triệu người dùng trên toàn cầu. Đáng chú ý, số lượng trang web phishing đã tăng lên 6,9% so với quý trước, đạt mức cao nhất trong vòng 5 năm. Các cuộc tấn công phishing nhắm vào các tổ chức tài chính, ngân hàng và thanh toán trực tuyến chiếm 42,4% tổng số các cuộc tấn công. Số lượng các tên miền giả mạo đã tăng lên 11,5% so với quý III/2022, đạt mức cao nhất trong vòng 3 năm. Trong bối cảnh như vậy, việc nâng cao nhận thức và có các biện pháp đối phó với tấn công phishing là rất quan trọng.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024