Các giai đoạn tấn công
Theo các nhà nghiên cứu, chiến dịch được phát hiện kéo dài từ tháng 4/2022 đến tháng 7/2023, bằng cách sử dụng một số tệp Microsoft Excel và PowerPoint độc hại để làm mồi nhử dụ dỗ nạn nhân kích vào, từ đó thực thi mã độc cho trình tải xuống có tên là “PicassoLoader”, hoạt động như một đường dẫn để khởi chạy Cobalt Strike Beacon và njRAT.
Các nhà nghiên cứu Vanja Svajcer của Cisco Talos cho biết: “Các cuộc tấn công đã sử dụng một chuỗi lây nhiễm nhiều tầng bắt đầu bằng các tài liệu Microsoft Office độc hại, phổ biến nhất là sử dụng các định dạng tệp Microsoft Excel và PowerPoint. Tiếp theo là một trình tải xuống có thể thực thi và payload được ẩn giấu trong một tệp hình ảnh, có khả năng khiến việc phát hiện trở nên khó khăn hơn”.
Nhóm Ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) quy kết một số hoạt động này cho nhóm tin tặc “GhostWriter” (còn gọi là UAC-0057 hoặc UNC1151), có liên quan đến Chính phủ Belarus. Điều đáng chú ý là một nhóm nhỏ các cuộc tấn công này đã được CERT-UA và Fortinet FortiGuard Labs ghi nhận trong năm qua, một trong số đó đã sử dụng các tài liệu PowerPoint chứa macro để phân phối mã độc Agent Tesla vào tháng 7/2022.
Dòng thời gian của các cuộc tấn công khác nhau
Chuỗi lây nhiễm nhằm mục đích thuyết phục nạn nhân kích hoạt macro, với macro VBA được thiết kế để loại bỏ trình tải xuống DLL được gọi là PicassoLoader, sau đó tiếp cận trang web do kẻ tấn công kiểm soát để thực thi payload giai đoạn tiếp theo, một tệp hình ảnh hợp pháp được nhúng vào tệp cuối cùng của phần mềm độc hại. Tiết lộ được đưa ra khi CERT-UA nêu chi tiết một số hoạt động lừa đảo phân phối mã độc SmokeLoader cũng như một cuộc tấn công giả mạo được thiết kế để giành quyền kiểm soát trái phép tài khoản Telegram của mục tiêu.
Tháng trước, CERT-UA cũng đã tiết lộ một chiến dịch gián điện mạng nhằm vào các tổ chức chính phủ và cơ quan truyền thông ở Ukraine khi sử dụng email và tin nhắn để phân phối tệp độc hại. Nếu được khởi chạy sẽ dẫn đến việc thực thi tập lệnh PowerShell có tên “LONEPAGE” để tìm nạp payload trong giai đoạn tiếp theo như trình đánh cắp trình duyệt “THUMBCHOP” và keylogger “CLOGFLAG”.
GhostWriter là một trong số nhiều tác nhân đe dọa đã nhắm đến Ukraine, trong đó bao gồm nhóm tin tặc APT28, đã sử dụng tệp đính kèm HTML trong email lừa đảo để nhắc người nhận thay đổi mật khẩu của họ trên UKR.NET và Yahoo! với cảnh báo phát hiện các hoạt động đáng ngờ trong tài khoản của họ, điều này sẽ chuyển hướng đến các trang đích không có thật và từ đó tin tặc có thể đánh cắp thông tin đăng nhập của người dùng.
Hữu Tài
(Theo Thehackernews)
13:00 | 11/07/2023
09:00 | 13/07/2023
14:00 | 30/11/2023
09:00 | 25/10/2023
10:00 | 10/07/2023
14:00 | 23/11/2023
11:00 | 26/04/2024
Các nhà nghiên cứu của công ty an ninh mạng BlackBerry đã phát hiện một chiến dịch gián điệp mạng nhắm vào người dùng iPhone ở khu vực Nam Á, với mục đích phân phối payload của phần mềm gián điệp có tên là LightSpy. BlackBerry cho biết chiến dịch này có khả năng cho thấy sự tập trung mới của các tác nhân đe dọa vào các mục tiêu chính trị và căng thẳng trong khu vực.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
13:00 | 23/01/2024
Các nhà cung cấp dịch vụ viễn thông, truyền thông, Internet (ISP), nhà cung cấp dịch vụ công nghệ thông tin và các trang web của người Kurd ở Hà Lan đã trở thành mục tiêu của một chiến dịch gián điệp mạng mới do nhóm tin tặc có tên gọi là Sea Turtle thực hiện. Nhóm này hoạt động với động cơ chính trị nhằm thu thập thông tin tình báo phù hợp với những lợi ích của Thổ Nhĩ Kỳ. Bài viết này sẽ cùng phân tích về các hoạt động của nhóm tin tặc này và các kỹ thuật trong chiến dịch mới nhất, dựa trên báo cáo điều tra của công ty an ninh mạng Hunt&Hackett (Hà Lan).
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
Một lỗ hổng nghiêm trọng ảnh hưởng đến nhiều ngôn ngữ lập trình cho phép kẻ tấn công chèn lệnh vào các ứng dụng Windows.
09:00 | 03/05/2024