Nhóm nghiên cứu Threat Intel Team của Cluster25 cho biết trong một bài báo được công bố vào tuần trước: “Cuộc tấn công liên quan đến việc sử dụng các tệp lưu trữ độc hại nhằm khai thác lỗ hổng được phát hiện gần đây của các phiên bản WinRAR trước 6.23 - lỗ hổng CVE-2023-38831”.
Mẫu độc hại là một tệp lưu trữ có tên “IOC_09_11.rar”, chứa một tệp PDF không có thật là “IOC_09_11.pdf” với ký tự dấu cách ở cuối trong tên tệp và một thư mục có cùng tên (bao gồm cả dấu cách) với tệp “IOC_09_11.pdf .cmd”, là tập lệnh BAT. Khi được nhấp vào sẽ khiến tập lệnh Windows Batch được thực thi, khởi chạy các lệnh PowerShell để mở một Reverse Shell cho phép kẻ tấn công truy cập từ xa vào máy mục tiêu.
Nội dung của tệp RAR độc hại
Tập lệnh PowerShell được triển khai để đánh cắp dữ liệu, bao gồm thông tin đăng nhập từ trình duyệt Google Chrome và Microsoft Edge. Thông tin đã thu thập được lọc qua một trang web webhook hợp lệ.
Lỗ hổng CVE-2023-388831 là một lỗ hổng có mức độ nghiêm trọng cao trong WinRAR, cho phép kẻ tấn công thực thi mã tùy ý. Các phát hiện từ công ty an ninh mạng Group-IB vào tháng 8/2023 tiết lộ rằng lỗi này đã được vũ khí hóa thành zero-day kể từ tháng 4/2023 trong các cuộc tấn công nhắm vào các doanh nghiệp.
Các cuộc tấn công này diễn ra khi công ty an ninh mạng Mandiant lập biểu đồ cho các hoạt động lừa đảo đang phát triển nhanh chóng của nhóm tin tặc APT29 nhắm mục tiêu vào các cơ quan ngoại giao và tập trung vào Ukraina trong nửa đầu năm 2023. Công ty cho biết những thay đổi đáng kể trong công cụ và quy trình của APT29 có thể được thiết kế để hỗ trợ tần suất và phạm vi hoạt động ngày càng tăng cũng như cản trở việc phân tích điều tra số, đồng thời họ đã sử dụng đồng thời nhiều chuỗi lây nhiễm khác nhau trên các hoạt động khác nhau.
Một số thay đổi đáng chú ý bao gồm việc sử dụng các trang web WordPress bị xâm nhập để lưu trữ payload giai đoạn đầu cũng như các thành phần chống mã hóa và phân tích bổ sung.
APT29 cũng có liên quan đến hoạt động khai thác tập trung vào đám mây, là một trong nhiều cụm hoạt động có nguồn gốc từ Nga nhằm vào Ukraina sau khi cuộc chiến bắt đầu vào đầu năm ngoái.
Vào tháng 7/2023, Trung tâm ứng cứu khẩn cấp máy tính của Ukraina (CERT-UA) đã chỉ ra nhóm tin tặc Turla liên quan đến các cuộc tấn công triển khai phần mềm độc hại Capibar và Kazuar để tấn công gián điệp vào hệ thống phòng thủ của Ukraine.
Trend Micro tiết lộ trong một báo cáo gần đây: “Turla là một nhóm tin tặc với lịch sử hoạt động lâu dài. Nguồn gốc, chiến thuật và mục tiêu của chúng đều cho thấy một hoạt động được tài trợ tốt với các tin tặc có tay nghề cao. Nhóm này đã liên tục phát triển các công cụ và kỹ thuật của mình trong nhiều năm và có thể sẽ tiếp tục cải tiến chúng”.
Lê Thị Bích Hằng
16:00 | 06/09/2023
14:00 | 04/08/2023
10:00 | 11/10/2023
12:00 | 25/10/2023
Nhóm tin tặc Lazarus có liên kết với Cộng hòa Dân chủ Nhân dân Triều Tiên (còn gọi là Hidden Cobra hoặc TEMP.Hermit) đã bị phát hiện sử dụng các phiên bản nhiễm trojan của VNC (Virtual Network Computing) để nhắm mục tiêu vào ngành công nghiệp quốc phòng và các kỹ sư hạt nhân như một phần của chiến dịch APT mang tên Dream Job.
15:00 | 13/10/2023
Một lỗ hổng bảo mật mới trên Linux, được gọi là “Looney Tunables” và được theo dõi là CVE-2023-4911, cho phép kẻ tấn công cục bộ giành được đặc quyền root bằng cách khai thác điểm yếu tràn bộ đệm trong trình tải động “ld.so” của thư viện GNU C (glibc).
14:00 | 24/07/2023
Công ty an ninh mạng Guardz (Israel) đã xác nhận sự tồn tại của một chương trình đánh cắp thông tin mới trên dark web, được gọi là phần mềm độc hại ShadowVault, có khả năng đánh cắp dữ liệu nhạy cảm từ các thiết bị chạy macOS, gây ra mối đe dọa đáng kể cho các doanh nghiệp cũng như cá nhân.
09:00 | 17/07/2023
BackdoorDiplomacy với nhiều biến thể khác nhau được cho là đã hoạt động gián điệp mạng từ năm 2010. Trong lịch sử, nhóm này đã nhắm mục tiêu vào các tổ chức chính phủ và ngoại giao trên khắp khu vực Bắc và Nam Mỹ, Châu Phi và Trung Đông. Theo nghiên cứu của Palo Alto Networks thì biến thể mới của BackdoorDiplomacy vẫn còn hoạt động, nhắm mục tiêu vào các cơ quan bộ ngoại giao và doanh nghiệp viễn thông ở Châu Phi, Châu Âu, Trung Đông và Châu Á. Bài viết giới thiệu tóm tắt một số kết quả nghiên cứu về nhóm gián điệp mạng “BackdoorDiplomacy” này.
14:00 | 14/08/2023 | Giải pháp khác
12:00 | 14/08/2023 | Công nghệ thông tin
17:00 | 11/08/2023|GP ATM
10:00 | 10/08/2023|Chính sách - Chiến lược
11:00 | 29/07/2023|Mật mã dân sự
16:00 | 09/11/2022|Tin tức sản phẩm
Mới đây, các nhà nghiên cứu của hãng bảo mật Check Point đã phát hiện chiến dịch gián điệp mạng được thực hiện bởi nhóm tin tặc Gamaredon có liên hệ với Cơ quan An ninh Liên bang Nga (FSB), bằng cách sử dụng một loại Worm lây lan qua thiết bị USB có tên là LitterDrifter trong các cuộc tấn công nhắm vào các thực thể tại Ukraine. Bài viết này tập trung vào phân tích LitterDrifter cũng như cơ sở hạ tầng của máy chủ điều khiển và kiểm soát (C2) của phần mềm độc hại này.
14:00 | 23/11/2023
