Công ty an ninh mạng Kaspersky đã phát hiện ra hoạt động này vào tháng 5 năm 2024. Công ty cho biết thủ đoạn mà nhóm tin tặc sử dụng có những điểm tương đồng với CloudWizard, nhưng chỉ ra những điểm khác biệt trong mã nguồn phần mềm độc hại. Các cuộc tấn công sử dụng một chương trình thu thập dữ liệu sáng tạo và một loạt chiến thuật trốn tránh để che đậy dấu vết.
Đây là một công cụ gián điệp mạng tinh vi được sử dụng để giám sát lén lút, thu thập và lọc dữ liệu thông qua cơ sở hạ tầng đám mây Microsoft Graph, Yandex Cloud và Dropbox. Phần mềm độc hại tận dụng tài nguyên đám mây làm máy chủ ra lệnh và kiểm soát (C2), truy cập chúng thông qua API bằng mã thông báo xác thực. Ngoài ra, CloudSorcerer sử dụng GitHub làm máy chủ C2 ban đầu.
Hiện chưa rõ phương pháp chính xác được sử dụng để xâm nhập vào các mục tiêu, nhưng quyền truy cập ban đầu được khai thác để loại bỏ tệp nhị phân thực thi di động dựa trên C được sử dụng làm backdoor, khởi tạo liên lạc C2 hoặc đưa shellcode vào các quy trình hợp pháp khác dựa trên quy trình trong đó nó được thực thi – cụ thể là mspaint.exe, msiexec.exe hoặc chứa chuỗi "browser".
Công ty Kaspersky lưu ý người dùng: “Khả năng của phần mềm độc hại tự động điều chỉnh hành vi của nó dựa trên tiến trình mà nó đang chạy, cùng với việc sử dụng giao tiếp giữa các tiến trình phức tạp thông qua các đường dẫn của Windows, càng làm nổi bật thêm sự tinh vi của nó”.
Hà Phương
14:00 | 01/11/2023
08:00 | 13/10/2023
10:00 | 16/08/2024
14:00 | 27/10/2023
14:00 | 20/08/2024
10:00 | 18/10/2024
GitLab đã phát hành bản cập nhật bảo mật cho Community Edition (CE) và Enterprise Edition (EE) để giải quyết 08 lỗ hổng bảo mật, bao gồm một lỗ hổng nghiêm trọng có thể cho phép thực thi các CI/CD Pipeline tùy ý.
14:00 | 02/10/2024
Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) đưa ra cảnh báo về một lỗ hổng bảo mật nghiêm trọng trong Ivanti Virtual Traffic Manager (vTM) đang bị khai thác tích cực bởi các hacker.
13:00 | 30/09/2024
Cơ quan Cơ sở hạ tầng và An ninh mạng Hoa Kỳ (CISA) đã thêm 5 lỗ hổng vào danh mục Các lỗ hổng đã biết bị khai thác (KEV), trong đó có lỗ hổng thực thi mã từ xa (RCE) ảnh hưởng đến Apache HugeGraph-Server.
21:00 | 29/08/2024
Cục Điều tra Liên bang Mỹ (FBI) mới đây đã đưa ra thông báo về sự cố gián đoạn cơ sở hạ tầng trực tuyến liên quan đến một nhóm tin tặc mã độc tống tiền mới nổi có tên là Dispossessor. Trong một nỗ lực nhằm giảm thiểu rủi ro do nhóm tội phạm này gây ra, FBI đã thu giữ 03 máy chủ tại Mỹ, 03 máy chủ tại Anh, 18 máy chủ tại Đức, 08 tên miền tại Mỹ và 01 tên miền tại Đức.
Các chuyên gia phát hiện ra 02 lỗ hổng Zero-day trong camera PTZOptics định danh CVE-2024-8956 và CVE-2024-8957 sau khi Sift - công cụ chuyên phát hiện rủi ro an ninh mạng sử dụng AI tìm ra hoạt động bất thường chưa từng được ghi nhận trước đó trên mạng honeypot của công ty này.
09:00 | 08/11/2024