Công ty an ninh mạng Kaspersky của Nga cho biết, các cuộc tấn công này do một nhóm có tên WIRTE, liên quan đến kiểu tấn công sử dụng Microsoft Excel dropper. Nhóm này sử dụng bảng tính ẩn và Macro VBA để tải về Visual Basic Script (VBS) với chức năng thu thập thông tin hệ thống và thực thi mã tùy ý trên máy bị nhiễm mã độc.
Qua các phân tích về chiến dịch cũng như bộ công cụ và phương pháp mà kẻ tấn công sử dụng, các nhà nghiên cứu kết luận rằng nhóm WIRTE có mối liên hệ với tổ chức gián điệp mạng Gaza Cybergang hoạt động ở Trung Đông và Trung Á. Các mục tiêu bị nhắm đến trải rộng trên Armenia, Cyprus, Ai Cập, Jordan, Lebanon, Palestine, Syria và Thổ Nhĩ Kỳ.
Nhà nghiên cứu Maher Yamout của Kaspersky cho biết: “WIRTE sử dụng các giao thức truyền văn bản (Text transfer protocol - TTP) đơn giản và khá phổ biến cho phép chúng không bị phát hiện trong một thời gian dài. Các phương pháp đơn giản nhưng dễ lừa các nạn nhân mắc bẫy".
Theo Kaspersky, việc giả mạo các tài liệu Microsoft Office để triển khai VBS có khả năng được gửi thông qua các email lừa đảo có chủ đích liên quan đến Palestine và các chủ đề thịnh hành khác phù hợp với các nạn nhân được nhắm mục tiêu.
Excel dropper được lập trình để thực thi các macro độc hại, sau đó tải xuống và cài đặt mã độc Ferocious trên thiết bị của người nhận, trong khi Word dropper sử dụng các macro VBA để tải xuống phần mềm đó. Ferocious dropper sử dụng một kỹ thuật được gọi là COM hijacking để thực thi tập lệnh PowerShell có tên là LitePower.
LitePower hoạt động như trình tải xuống và truyền tin kết nối với các máy chủ điều khiển và chỉ huy từ xa đặt tại Ukraine và Estoni. Sau đó chờ các lệnh khác có thể dẫn đến việc triển khai phần mềm độc hại bổ sung trên các hệ thống bị xâm phạm.
Yamout cho biết: "WIRTE đã sửa đổi bộ công cụ và cách hoạt động của chúng để có thể hoạt động lén lút trong một thời gian dài. Việc sử dụng phần mềm độc hại bằng ngôn ngữ thông dịch như tập lệnh VBS và PowerShell nhằm tăng thêm tính linh hoạt để cập nhật bộ công cụ của chúng và tránh bị phát hiện".
Phương Thanh (Theo The Hacker News)
13:00 | 18/11/2021
10:00 | 07/11/2023
09:00 | 16/11/2021
09:00 | 23/11/2021
10:00 | 12/12/2024
Các nhà nghiên cứu của công ty bảo mật đám mây Aqua Nautilus (Mỹ) cho biết một tác nhân đe dọa có tên là Matrix đã được liên kết với một chiến dịch từ chối dịch vụ phân tán (DoD) trên diện rộng, lợi dụng các lỗ hổng và cấu hình lỗi trong các thiết bị Internet vạn vật (IoT) để biến chúng thành một mạng lưới botnet tinh vi.
14:00 | 28/10/2024
Nhóm tin tặc Awaken Likho hay còn được gọi với cái tên Core Werewolf đã quay trở lại và tiếp tục nhắm mục tiêu vào các cơ quan chính phủ, doanh nghiệp lớn. Bài viết này sẽ tiến hành phân tích kỹ thuật tấn công của nhóm dựa trên công bố của hãng bảo mật Kaspersky.
10:00 | 02/10/2024
Công ty Ivanti (Hoa Kỳ) tiết lộ một lỗ hổng bảo mật mới được vá trong Thiết bị dịch vụ đám mây (Cloud Service Appliance - CSA) của công ty đã bị tin tặc khai thác tích cực trong thực tế.
14:00 | 11/09/2024
Các nhà nghiên cứu bảo mật tại Rapid7 (Hoa Kỳ) phát hiện một lỗ hổng bảo mật mới trong hệ thống hoạch định nguồn lực doanh nghiệp (ERP) mã nguồn mở Apache OFBiz, có thể dẫn đến nguy cơ thực thi mã từ xa mà không cần xác thực trên các hệ điều hành như Linux và Windows.
Một lỗ hổng zero-day mới được phát hiện ảnh hưởng đến mọi phiên bản Microsoft Windows, bao gồm cả các phiên bản cũ và đang được hỗ trợ, cho phép kẻ tấn công chiếm đoạt thông tin đăng nhập NTLM của người dùng chỉ bằng việc xem một tệp trong Windows Explorer.
10:00 | 11/12/2024