.jpg)
Các giai đoạn tấn công
Theo các nhà nghiên cứu, chiến dịch được phát hiện kéo dài từ tháng 4/2022 đến tháng 7/2023, bằng cách sử dụng một số tệp Excel và PowerPoint độc hại để làm mồi nhử dụ dỗ nạn nhân kích vào, từ đó thực thi mã độc cho trình tải xuống có tên là “PicassoLoader”, hoạt động như một đường dẫn để khởi chạy Beacon và njRAT.
Các nhà nghiên cứu Vanja Svajcer của Cisco Talos cho biết: “Các cuộc tấn công đã sử dụng một chuỗi lây nhiễm nhiều tầng bắt đầu bằng các tài liệu Microsoft Office độc hại, phổ biến nhất là sử dụng các định dạng tệp Microsoft Excel và PowerPoint. Tiếp theo là một trình tải xuống có thể thực thi và payload được ẩn giấu trong một tệp hình ảnh, có khả năng khiến việc phát hiện trở nên khó khăn hơn”.
Nhóm Ứng cứu khẩn cấp máy tính của (CERT-UA) quy kết một số hoạt động này cho nhóm tin tặc “GhostWriter” (còn gọi là UAC-0057 hoặc UNC1151), có liên quan đến Chính phủ Belarus. Điều đáng chú ý là một nhóm nhỏ các cuộc tấn công này đã được CERT-UA và Fortinet FortiGuard Labs ghi nhận trong năm qua, một trong số đó đã sử dụng các tài liệu PowerPoint chứa macro để phân phối mã độc Agent Tesla vào tháng 7/2022.
Dòng thời gian của các cuộc tấn công khác nhau
Chuỗi lây nhiễm nhằm mục đích thuyết phục nạn nhân kích hoạt macro, với macro VBA được thiết kế để loại bỏ trình tải xuống DLL được gọi là PicassoLoader, sau đó tiếp cận trang web do kẻ tấn công kiểm soát để thực thi payload giai đoạn tiếp theo, một tệp hình ảnh hợp pháp được nhúng vào tệp cuối cùng của phần mềm độc hại. Tiết lộ được đưa ra khi CERT-UA nêu chi tiết một số hoạt động lừa đảo phân phối mã độc SmokeLoader cũng như một cuộc tấn công giả mạo được thiết kế để giành quyền kiểm soát trái phép tài khoản Telegram của mục tiêu.
Tháng trước, CERT-UA cũng đã tiết lộ một chiến dịch gián điện mạng nhằm vào các tổ chức chính phủ và cơ quan truyền thông ở Ukraine khi sử dụng email và tin nhắn để phân phối tệp độc hại. Nếu được khởi chạy sẽ dẫn đến việc thực thi tập lệnh PowerShell có tên “LONEPAGE” để tìm nạp payload trong giai đoạn tiếp theo như trình đánh cắp trình duyệt “THUMBCHOP” và keylogger “CLOGFLAG”.
GhostWriter là một trong số nhiều tác nhân đe dọa đã nhắm đến Ukraine, trong đó bao gồm nhóm tin tặc APT28, đã sử dụng tệp đính kèm HTML trong để nhắc người nhận thay đổi mật khẩu của họ trên UKR.NET và Yahoo! với cảnh báo phát hiện các hoạt động đáng ngờ trong tài khoản của họ, điều này sẽ chuyển hướng đến các trang đích không có thật và từ đó tin tặc có thể đánh cắp thông tin đăng nhập của người dùng.
Hữu Tài
(Theo Thehackernews)
13:00 | 11/07/2023
09:00 | 13/07/2023
14:00 | 30/11/2023
09:00 | 25/10/2023
10:00 | 10/07/2023
14:00 | 23/11/2023
09:00 | 08/10/2024
Một lỗ hổng bảo mật nghiêm trọng trong Microchip Advanced Software Framework (ASF) mới được phát hiện gần đây, nếu khai thác thành công có thể dẫn đến việc thực thi mã từ xa.
08:00 | 26/08/2024
Trong vòng 6 tháng đầu năm 2024, các nạn nhân của mã độc tống tiền (ransomware) trên toàn cầu đã phải chi trả một con số khổng lồ lên tới 459,8 triệu USD cho tội phạm mạng, dự báo một kỷ lục đáng sợ mới về thiệt hại do ransomware gây ra trong năm nay. Bất chấp các nỗ lực của cơ quan chức năng, các băng nhóm tội phạm vẫn tiếp tục lộng hành, nhắm vào những mục tiêu lớn hơn, gây ra những cuộc tấn công quy mô với mức tiền chuộc ngày càng tăng chóng mặt.
16:00 | 19/08/2024
Công ty sản xuất vàng Evolution Mining, một trong những nhà sản xuất vàng lớn nhất của Úc (cũng có mặt tại Canada) đã thông báo rằng, công ty bị tấn công bằng mã độc tống tiền vào ngày 08/8. Vụ tấn công đã gây ảnh hưởng nghiêm trọng đến hệ thống công nghệ thông tin của công ty.
14:00 | 06/08/2024
Một nhóm tin tặc có tên Stargazer Goblin đã thiết lập một mạng lưới các tài khoản GitHub không xác thực để cung cấp dịch vụ phân phối dưới dạng dịch vụ (DaaS) nhằm phát tán nhiều loại phần mềm độc hại và đánh cắp thông tin, nhóm đã thu về 100.000 USD lợi nhuận bất hợp pháp trong năm qua.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
