Chuỗi lây nhiễm trong tệp Excel
Cụ thể, nhóm ứng cứu sự cố của Trend Micro phát hiện chiến dịch này sau khi xem xét và phân tích một số cuộc tấn công xảy ra ở khu vực Trung Đông, điều này dẫn đến một cuộc điều tra sâu hơn về quyền truy cập ban đầu của các cuộc tấn công này, trong đó điểm nhấn là việc phát tán một loại mã độc chưa từng biết đến có tên là “SQUIRRELWAFFLE”. Theo nhóm nghiên cứu tới từ Cisco Talos, các cuộc tấn công được cho là đã bắt đầu vào giữa tháng 9/2021, thông qua các tài liệu Microsoft Office độc hại được đính kèm.
Theo các nhà nghiên cứu Mohamed Fahmy, Sherif Magdy, Abdelrhman Sharshar cho biết: “Cuộc tấn công được thực hiện với việc tin tặc sẽ gửi các email độc hại dưới dạng mail trả lời cho các chuỗi email đã tồn tại từ trước, một kỹ thuật làm giảm đi sự cảnh giác của nạn nhân trước các hành vi độc hại. Để có thể thực hiện điều này, chúng tôi tin rằng nó liên quan đến việc sử dụng chuỗi khai thác ProxyLogon và ProxyShell”.
Được biết, ProxyLogon và ProxyShell đề cập đến một tập hợp các lỗ hổng trong máy chủ Microsoft Exchange, có thể cho phép tin tặc nâng cao đặc quyền và thực thi từ xa mã tùy ý, thậm chí dẫn đến khả năng kiểm soát toàn bộ hệ thống bị tấn công. Trong khi các lỗ hổng ProxyLogon đã được giải quyết vào tháng 3, thì đối với ProxyShell, lỗ hổng này được vá trong một loạt các bản cập nhật được phát hành vào tháng 5 và tháng 7.
Luồng lây nhiễm DLL
Trend Micro cho biết họ đã phát hiện các tin tặc khai thác trên thực tế các lỗ hổng CVE-2021-26855 (ProxyLogon), CVE-2021-34473 và CVE-2021-34523 (ProxyShell) trên ba trong số các máy chủ Exchange đã bị xâm nhập trong các cuộc tấn công khác nhau, với mục đích để đánh cắp các email hợp pháp và gửi thư spam độc hại dưới dạng các email trả lời, với nội dung phù hợp với email đã bị đánh cắp trước đó. Do vậy làm tăng khả năng người nhận không nghi ngờ và tin tưởng mở email này ra.
Các nhà nghiên cứu nhận xét: “Việc gửi thư rác độc hại bằng cách sử dụng kỹ thuật này để tiếp cận người dùng nội bộ, sẽ làm giảm khả năng phát hiện hoặc ngăn chặn cuộc tấn công, vì các dịch vụ mail gateway sẽ không thể lọc hoặc tách biệt bất kỳ email nội bộ nào”. Ngoài ra, một điều đáng chú ý là các tin tặc đã không thực hiện thêm các hành vi độc hại nào khác, như cài đặt mã độc bổ sung trên máy chủ Exchange để tránh sự phát hiện của các chương trình, phần mềm bảo mật, trước khi email độc hại có thể được phát tán và lây nhiễm trong môi trường.
Tài liệu Microsoft Excel độc hại
Chuỗi tấn công liên quan đến các email giả mạo có chứa một liên kết mà khi được nhấp vào tệp Microsoft Excel hoặc Word sẽ tự động tải xuống máy tính của nạn nhân. Sau khi mở tài liệu này, một lời nhắc bật macro sẽ được hiển thị, từ đó dẫn đến việc thực thi mã độc SQUIRRELWAFFLE, hoạt động như một phương thức để tìm nạp các payload, mục đích để triển khai các mã độc hại như Cobalt Strike và Qbot ở trong giai đoạn cuối cùng.
Cuộc tấn công này đánh dấu một bước leo thang mới trong các chiến dịch lừa đảo, trong đó tin tặc đã xâm nhập vào máy chủ email Microsoft Exchange của doanh nghiệp để truy cập trái phép vào hệ thống mail nội bộ của họ, và phân phối email độc hại nhằm mục đích lây nhiễm và phát tán đến tất cả người dùng khác.
Các nhà nghiên cứu kết luận: “Chiến dịch SQUIRRELWAFFLE gần đây như một lời cảnh báo đặc biệt, khiến người dùng có thể cảnh giác cao hơn với những kỹ thuật tấn công khác nhau, được tin tặc sử dụng để che giấu các email và tệp độc hại. Bên cạnh đó, bất kỳ liên kết hoặc tệp đính kèm nào trong những email đến từ các địa chỉ đáng tin cậy, cũng không thể chắc chắn rằng những email đấy đều an toàn”.
Điều quan trọng là phải đảm bảo rằng các bản vá cho các lỗ hổng Microsoft Exchange, cụ thể là ProxyShell và ProxyLogon đã được áp dụng. Microsoft cho biết, những người dùng đã cập dụng bản vá của họ đối với ProxyLogon vào tháng 3 sẽ không được bảo vệ khỏi các lỗ hổng ProxyShell, chính vì vậy Microsoft khuyến cáo người dùng nên cài đặt các bản cập nhật bảo mật mới hơn để có thể bảo vệ hệ thống của mình.
Đinh Hồng Đạt
09:00 | 16/11/2021
17:00 | 17/11/2021
16:00 | 10/11/2021
09:00 | 04/01/2022
10:00 | 04/03/2024
Mới đây, công ty sản xuất camera Wyze đã chia sẻ thông tin chi tiết về sự cố bảo mật đã ảnh hưởng đến hàng nghìn người dùng vào hôm 16/02 và cho biết ít nhất 13.000 khách hàng có thể xem clip từ camera nhà của những người dùng khác.
07:00 | 16/01/2024
Các nhà nghiên cứu an ninh mạng đã phát hiện một backdoor macOS mới có tên là SpectralBlur. Đặc biệt backdoor này có những điểm tương đồng với dòng phần mềm độc hại KandyKorn của các tin tặc Triều Tiên trong các chiến dịch tấn công mạng được xác định gần đây.
09:00 | 09/01/2024
Một nhóm tin tặc có tên Cyber Toufan được cho là do nhà nước Palestine hậu thuẫn tuyên bố đã tấn công hơn 100 tổ chức của Israel thông qua các hoạt động xóa và đánh cắp dữ liệu. Đây là một phần của chiến dịch tấn công toàn diện mà nguyên nhân là việc căng thẳng chính trị ngày càng gia tăng trong khu vực.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Một nhóm tin tặc được cho là từ Việt Nam đang nhắm mục tiêu vào các tổ chức tài chính ở châu Á để đánh cắp các dữ liệu tài chính.
10:00 | 24/04/2024
