Theo phân tích của Kaspersky, Head Mare sử dụng các phương pháp tấn công tinh vi. Điển hình là việc khai thác lỗ hổng CVE-2023-38831 trong WinRAR. Lỗ hổng này cho phép tin tặc thực thi mã độc trên hệ thống của nạn nhân thông qua một tệp nén được chuẩn bị đặc biệt.
Hoạt động từ năm 2023, Head Mare được cho là có liên quan đến xung đột Nga-Ukraine. Nhóm này không chỉ tấn công để gây thiệt hại mà còn sử dụng ransomware LockBit và Babuk để mã hóa dữ liệu và đòi tiền chuộc. Các mục tiêu của chúng bao gồm các tổ chức chính phủ, giao thông, năng lượng, sản xuất và môi trường.
Không giống như các nhóm tin tặc khác có khả năng hoạt động với mục đích gây ra "thiệt hại tối đa" cho các công ty ở hai quốc gia, Head Mare cũng mã hóa các thiết bị của nạn nhân bằng LockBit cho Windows và Babuk cho Linux (ESXi) và yêu cầu tiền chuộc để giải mã dữ liệu.
Ngoài ra, Head Mare còn sử dụng các công cụ độc hại tự phát triển như PhantomDL và PhantomCore để kiểm soát hệ thống nạn nhân từ xa, tải lên và tải xuống dữ liệu, cũng như thực thi các lệnh tùy ý. Chúng còn sử dụng các kỹ thuật tinh vi để che giấu hoạt động, như giả mạo các tác vụ cập nhật của Microsoft và đặt tên các tệp độc hại giống như các ứng dụng phổ biến.
Các cuộc tấn công thường bắt đầu bằng email lừa đảo (phishing) chứa tài liệu có phần mở rộng kép, chẳng hạn như [.]pdf, [.]exe. Khi nạn nhân mở tệp đính kèm, mã độc sẽ được thực thi, cho phép tin tặc xâm nhập vào hệ thống.
Mặc dù sử dụng các chiến thuật tương tự các nhóm tin tặc khác hoạt động trong khu vực, Head Mare nổi bật với việc sử dụng phần mềm độc hại tùy chỉnh và khai thác các lỗ hổng mới.
Phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật phần mềm thường xuyên và cảnh giác với các email lừa đảo. Các chuyên gia khuyến cáo, người dùng và các tổ chức nên thận trọng khi mở các tệp đính kèm từ các nguồn không tin cậy và nên sử dụng các phần mềm bảo mật cập nhật để phát hiện và ngăn chặn các mối đe dọa.
Phong Thu
21:00 | 29/08/2024
14:00 | 06/08/2024
14:00 | 30/07/2024
15:00 | 18/09/2024
Công ty an ninh mạng McAfee thông báo đã phát hiện 280 ứng dụng Android giả mà đối tượng lừa đảo dùng để truy cập ví tiền ảo.
13:00 | 13/09/2024
Cisco đã phát hành bản cập nhật bảo mật để giải quyết hai lỗ hổng nghiêm trọng ảnh hưởng đến tiện ích cấp phép thông minh (Smart Licensing Utility), có thể cho phép kẻ tấn công từ xa chưa được xác thực leo thang đặc quyền hoặc truy cập thông tin nhạy cảm.
14:00 | 05/08/2024
Các chuyên gia bảo mật vừa phát hiện chiến dịch độc hại nhằm vào thiết bị Android toàn cầu, sử dụng hàng nghìn bot Telegram để lây nhiễm mã độc đánh cắp mã OTP của người dùng tại 113 quốc gia.
10:00 | 25/06/2024
Một chiến dịch phát tán mã độc mới đang giả mạo các thông báo lỗi của Google Chrome, Word và OneDrive để lừa người dùng chạy các “bản sửa lỗi” PowerShell nhằm cài đặt phần mềm độc hại.
Nhà nghiên cứu bảo mật Alon Leviev của SafeBreach Labs đã trình bày một cách tấn công vào kiến trúc Microsoft Windows Update biến các lỗ hổng đã được sửa thành lỗ hổng zero-day.
14:00 | 17/09/2024