Chiến dịch tấn công này có liên quan tới nhóm tin tặc DarkHydrus. Đây là nhóm tin tặc chuyên thực hiện các cuộc tấn công có chủ đích (Advanced Persistent Threat - APT), lợi dụng công cụ mã nguồn mở Phishery để thu thập thông tin chống lại các tổ chức chính phủ và giáo dục tại Trung Đông vào tháng 8/2018.
Vì đa số các công cụ bảo mật hoạt động bằng cách theo dõi lưu lượng mạng để phát hiện các địa chỉ IP độc hại, nên tin tặc đang hướng tới việc lợi dụng cơ sở hạ tầng của các dịch vụ hợp pháp trong các cuộc tấn công mạng. Trong chiến dịch tấn công này, tin tặc sử dụng một biến thể mới có tên Trojan RogueRobin để lây nhiễm vào máy tính của nạn nhân, bằng cách lừa người dùng mở một tệp tin Microsoft Excel đã nhúng macro VBA (Visual Basic for Applications) độc hại. Khi người dùng kích hoạt macro, một tệp văn bản .txt độc hại sẽ được lưu trong thư mục tạm thời và lợi dụng ứng dụng personas.exe để tự khởi chạy. Cuối cùng, Trojan RogueRobin được cài đặt vào máy tính của nạn nhân.
Trojan RogueRobin bao gồm nhiều chức năng như: ẩn mình; phát hiện sandbox; kiểm tra môi trường ảo hóa, bộ nhớ, số lượng bộ xử lý; phát hiện các công cụ phân tích phổ biến được chạy trên hệ thống; phát hiện anti-debug....
Giống phiên bản gốc, biến thể mới của RogueRobin cũng sử dụng DNS tunneling - một kỹ thuật gửi hoặc truy xuất dữ liệu và lệnh thông qua các gói truy vấn DNS để giao tiếp với máy chủ C&C. Ngoài ra, mã độc này còn đặt API Google Drive là kênh thay thế để gửi dữ liệu và nhận lệnh từ tin tặc.
Các chuyên gia nhận định, chiến dịch này cho thấy các nhóm tin tặc đang chuyển hướng nhiều hơn sang việc lợi dụng các dịch vụ hợp pháp làm cơ sở hạ tầng C&C một cách tinh vi để tránh bị phát hiện.
Cách tốt nhất để bảo vệ người dùng khỏi các cuộc tấn công này là luôn cảnh giác trước bất kỳ tài liệu lạ, chưa rõ nguồn gốc được gửi qua email. Đồng thời, không truy cập vào các liên kết trong tài liệu khi chưa xác minh được nguồn gửi.
ĐT
Theo WorldStar
16:00 | 24/09/2018
11:00 | 19/02/2019
09:00 | 31/05/2018
14:00 | 16/01/2024
23:00 | 03/03/2019
08:00 | 29/03/2019
10:00 | 28/03/2024
16:00 | 13/02/2019
09:54 | 07/08/2017
16:00 | 22/01/2025
Trong tháng 12, Microsoft, Adobe và SAP đã phát hành bản vá cho các sản phẩm của mình. Người dùng cần khẩn trương cài đặt bản vá để phòng tránh rủi ro mất an toàn thông tin.
12:00 | 14/01/2025
Hiệp hội thời tiết Nhật Bản (JWA) ngày 09/1 thông báo, tổ chức này đã bị tấn công mạng và tạm thời khiến website thông tin mà tổ chức này vận hành không thể truy cập được.
10:00 | 31/12/2024
Các nhà nghiên cứu an ninh mạng đang đưa ra cảnh bảo về sự gia tăng đột biến của những hoạt động phá hoại liên quan đến việc kết nối các bộ định tuyến D-Link trong 2 mạng botnet khác nhau, một biến thể Mirai có tên là FICORA và một biến thể Kaiten (Tsunami) được gọi là CAPSAICIN.
10:00 | 09/12/2024
Nhóm tin tặc RomCom đến từ Nga đã liên kết hai lỗ hổng zero-day trong các cuộc tấn công gần đây nhắm vào người dùng Firefox và Tor Browser trên khắp khu vực châu Âu và Bắc Mỹ.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Juniper Networks đã phát hành bản vá khẩn cấp để giải quyết một lỗ hổng bảo mật đang bị khai thác tích cực trong hệ điều hành Junos OS định danh CVE-2025-21590. Lỗ hổng này cho phép kẻ tấn công cục bộ có thể thực thi mã tùy ý, ảnh hưởng đến nhiều phiên bản của Junos OS. Kẻ tấn công có quyền truy cập cao có thể tiêm mã tùy ý và làm tổn hại đến thiết bị bị ảnh hưởng.
10:00 | 21/03/2025
