Theo phân tích của Kaspersky, Head Mare sử dụng các phương pháp tấn công tinh vi. Điển hình là việc khai thác lỗ hổng CVE-2023-38831 trong WinRAR. Lỗ hổng này cho phép tin tặc thực thi mã độc trên hệ thống của nạn nhân thông qua một tệp nén được chuẩn bị đặc biệt.
Hoạt động từ năm 2023, Head Mare được cho là có liên quan đến xung đột Nga-Ukraine. Nhóm này không chỉ tấn công để gây thiệt hại mà còn sử dụng ransomware LockBit và Babuk để mã hóa dữ liệu và đòi tiền chuộc. Các mục tiêu của chúng bao gồm các tổ chức chính phủ, giao thông, năng lượng, sản xuất và môi trường.
Không giống như các nhóm tin tặc khác có khả năng hoạt động với mục đích gây ra "thiệt hại tối đa" cho các công ty ở hai quốc gia, Head Mare cũng mã hóa các thiết bị của nạn nhân bằng LockBit cho Windows và Babuk cho Linux (ESXi) và yêu cầu tiền chuộc để giải mã dữ liệu.
Ngoài ra, Head Mare còn sử dụng các công cụ độc hại tự phát triển như PhantomDL và PhantomCore để kiểm soát hệ thống nạn nhân từ xa, tải lên và tải xuống dữ liệu, cũng như thực thi các lệnh tùy ý. Chúng còn sử dụng các kỹ thuật tinh vi để che giấu hoạt động, như giả mạo các tác vụ cập nhật của Microsoft và đặt tên các tệp độc hại giống như các ứng dụng phổ biến.
Các cuộc tấn công thường bắt đầu bằng email lừa đảo (phishing) chứa tài liệu có phần mở rộng kép, chẳng hạn như [.]pdf, [.]exe. Khi nạn nhân mở tệp đính kèm, mã độc sẽ được thực thi, cho phép tin tặc xâm nhập vào hệ thống.
Mặc dù sử dụng các chiến thuật tương tự các nhóm tin tặc khác hoạt động trong khu vực, Head Mare nổi bật với việc sử dụng phần mềm độc hại tùy chỉnh và khai thác các lỗ hổng mới.
Phát hiện này một lần nữa nhấn mạnh tầm quan trọng của việc cập nhật phần mềm thường xuyên và cảnh giác với các email lừa đảo. Các chuyên gia khuyến cáo, người dùng và các tổ chức nên thận trọng khi mở các tệp đính kèm từ các nguồn không tin cậy và nên sử dụng các phần mềm bảo mật cập nhật để phát hiện và ngăn chặn các mối đe dọa.
Phong Thu
21:00 | 29/08/2024
14:00 | 30/07/2024
14:00 | 06/08/2024
10:00 | 05/03/2025
Các nhà nghiên cứu bảo mật tại Intel 471 cho biết, đã phát hiện cách phần mềm độc hại TGTOXIC tấn công người dùng Android chỉ bằng một tin nhắn SMS.
10:00 | 14/02/2025
Một chiến dịch phần mềm độc hại mới có tên là SparkCat đã tận dụng một loạt ứng dụng giả mạo trên cửa hàng ứng dụng của Apple và Google để đánh cắp Seed Phrase (một tập hợp các chữ cái cho phép người dùng truy cập, hoặc khôi phục các ví điện tử đã tạo trước đó) của nạn nhân.
13:00 | 06/01/2025
Trong thời đại công nghệ phát triển nhanh chóng hiện nay, việc bảo vệ ứng dụng web và dịch vụ mạng trước các mối đe dọa đang trở nên ngày càng quan trọng. Một trong những mối đe dọa phổ biến nhất mà các nhà phát triển và quản trị viên hệ thống phải đối mặt là kỹ thuật tấn công từ chối dịch vụ biểu thức chính quy (Regular Expression Denial of Service - ReDoS). ReDoS là một loại tấn công mạng có thể làm cho các ứng dụng web và dịch vụ mạng trở nên không khả dụng hoặc rất chậm bằng cách tận dụng các biểu thức chính quy phức tạp. Bài viết sẽ giới thiệu tới độc giả kỹ thuật ReDoS, đưa ra giải pháp phát hiện và ngăn chặn trên các ứng dụng Web và dịch vụ mạng.
08:00 | 20/12/2024
Các nhà nghiên cứu tại hãng bảo mật di động Lookout (Mỹ) mới đây đã phát hiện ba công cụ gián điệp mới trên thiết bị Android do các tổ chức được nhà nước bảo trợ có tên lần lượt là BoneSpy, PlainGnome và EagleMsgSpy để theo dõi và đánh cắp dữ liệu từ các thiết bị di động.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
