CERT-UA cho rằng chiến dịch tấn công được thực hiện bởi nhóm tin tặc UAC-0027. Phần mềm độc hại DirtyMoe xuất hiện sớm nhất từ năm 2016 và được triển khai bằng nhiều bộ công cụ khác nhau như PurpleFox hoặc trình cài đặt Telegram được chèn vào yêu cầu sự tương tác của người dùng. Đặc biệt, DirtyMoe có khả năng thực hiện các cuộc tấn công mã hóa, tấn công từ chối dịch vụ phân tán (DDoS) và khai thác tiền điện tử.
DirtyMoe thực thi dưới dạng dịch vụ Windows với các đặc quyền hệ thống thông qua EternalBlue (mã khai thác thông tin được phát triển bởi Cục An ninh Quốc gia Mỹ - NSA) và ít nhất ba hoạt động khai thác khác. Theo công ty an ninh mạng Avast (Cộng hòa Séc), chức năng cụ thể này được điều khiển từ xa bởi tác giả phần mềm độc hại, những người có thể cấu hình lại hàng nghìn phiên bản DirtyMoe để đạt được các chức năng mong muốn trong vòng vài giờ. Vào tháng 3/2022, Avast cũng đã tiết lộ khả năng lây nhiễm của DirtyMoe với các đặc điểm của Worm bằng cách lợi dụng các lỗi bảo mật đã được công bố.
Theo các nhà nghiên cứu của CERT-UA, botnet DDoS trong chiến dịch lây nhiễm DirtyMoe được phát tán thông qua Purple Fox hoặc các gói cài đặt MSI giả mạo cho các phần mềm phổ biến như Telegram. Purple Fox cũng được trang bị rootkit cho phép kẻ tấn công che giấu phần mềm độc hại trên máy mục tiêu và gây khó khăn cho việc phát hiện cũng như loại bỏ.
Điều đáng chú ý, DirtyMoe có chức năng tự lan truyền bằng cách thu thập dữ liệu xác thực hoặc khai thác một số lỗ hổng liên quan đến các máy tính nằm trong mạng cục bộ và các máy tính dựa trên danh sách địa chỉ IP được tạo bởi một thuật toán cụ thể, tùy thuộc vào địa chỉ IP công cộng của mục tiêu.
Để đảm bảo khả năng chịu lỗi (Fault Tolerance) trong giao tiếp với cơ sở hạ tầng điều khiển, ít nhất ba phương pháp khai thác được các tin tặc sử dụng, một trong số đó có liên quan đến việc lấy giá trị bản ghi A cho các tên miền được xác định bằng cả máy chủ DNS cục bộ và bên ngoài, bao gồm: 8.8.8.8 ; 1.1.1.1 ; 114.114.114.114 và 119.29.29.29. Ngoài ra, các địa chỉ IP được lưu trữ trong registry của hệ điều hành và những địa chỉ có được thông qua truy vấn DNS đều bị xáo trộn.
CERT-UA cho biết họ đã xác định được 486 địa chỉ IP của các máy chủ kiểm soát trung gian trong khoảng thời gian từ ngày 20 đến ngày 31/01/2024, phần lớn trong số đó có liên quan đến các thiết bị phần cứng bị xâm nhập ở Trung Quốc. Đồng thời, CERT-UA cũng khuyến nghị các tổ chức nên cập nhật bản vá bảo mật đối với các hệ thống chủ quản và giám sát lưu lượng truy cập mạng để phát hiện bất kỳ hoạt động bất thường nào.
Tiết lộ này được đưa ra khi hãng bảo mật Securonix (Mỹ) trình bày chi tiết về một chiến dịch lừa đảo đang diễn ra có tên là STEADY#URSA để cung cấp backdoor PowerShell SUBTLE-PAWS, với mục tiêu nhắm vào các cơ quan thuộc Quân đội Ukraine.
Vũ Mạnh Hà
(Tổng hợp)
14:00 | 29/09/2022
08:00 | 21/03/2024
12:00 | 12/08/2022
08:00 | 12/03/2024
13:00 | 02/08/2022
16:00 | 02/05/2024
13:00 | 09/10/2024
Công ty bảo mật và cơ sở hạ tầng web - Cloudflare tiết lộ rằng họ đã ngăn chặn được một cuộc tấn công từ chối dịch vụ phân tán (DDoS) phá kỷ lục, đạt đỉnh ở mức 3,8 terabit mỗi giây (Tbps) và kéo dài 65 giây. Trong tháng 9, công ty này đã ngăn chặn hơn 100 cuộc tấn công DDoS L3/4 siêu lớn, trong đó nhiều cuộc tấn công đã vượt mốc 2 tỷ gói tin mỗi giây (Bpps) và 3 Tbps.
07:00 | 27/09/2024
Tổng cộng 6 triệu mã số định danh người nộp thuế Indonesia đã bị rò rỉ và rao bán công khai với giá 10.000 USD. Ngoài mã số định danh người nộp thuế, dữ liệu bị rò rỉ bao gồm mã số định danh quốc gia, email, địa chỉ, số điện thoại và thông tin cá nhân khác.
14:00 | 06/08/2024
Một nhóm tin tặc có tên Stargazer Goblin đã thiết lập một mạng lưới các tài khoản GitHub không xác thực để cung cấp dịch vụ phân phối dưới dạng dịch vụ (DaaS) nhằm phát tán nhiều loại phần mềm độc hại và đánh cắp thông tin, nhóm đã thu về 100.000 USD lợi nhuận bất hợp pháp trong năm qua.
14:00 | 30/07/2024
Một nhóm tin tặc có liên quan đến Trung Quốc có tên là APT17 đã được phát hiện nhắm mục tiêu vào các công ty và tổ chức của Chính phủ Ý bằng cách sử dụng một biến thể của phần mềm độc hại đã biết có tên là 9002 RAT.
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024