Chiến dịch tấn công này có liên quan tới nhóm tin tặc DarkHydrus. Đây là nhóm tin tặc chuyên thực hiện các cuộc tấn công có chủ đích (Advanced Persistent Threat - APT), lợi dụng công cụ mã nguồn mở Phishery để thu thập thông tin chống lại các tổ chức chính phủ và giáo dục tại Trung Đông vào tháng 8/2018.
Vì đa số các công cụ bảo mật hoạt động bằng cách theo dõi lưu lượng mạng để phát hiện các địa chỉ IP độc hại, nên tin tặc đang hướng tới việc lợi dụng cơ sở hạ tầng của các dịch vụ hợp pháp trong các cuộc tấn công mạng. Trong chiến dịch tấn công này, tin tặc sử dụng một biến thể mới có tên Trojan RogueRobin để lây nhiễm vào máy tính của nạn nhân, bằng cách lừa người dùng mở một tệp tin Microsoft Excel đã nhúng macro VBA (Visual Basic for Applications) độc hại. Khi người dùng kích hoạt macro, một tệp văn bản .txt độc hại sẽ được lưu trong thư mục tạm thời và lợi dụng ứng dụng personas.exe để tự khởi chạy. Cuối cùng, Trojan RogueRobin được cài đặt vào máy tính của nạn nhân.
Trojan RogueRobin bao gồm nhiều chức năng như: ẩn mình; phát hiện sandbox; kiểm tra môi trường ảo hóa, bộ nhớ, số lượng bộ xử lý; phát hiện các công cụ phân tích phổ biến được chạy trên hệ thống; phát hiện anti-debug....
Giống phiên bản gốc, biến thể mới của RogueRobin cũng sử dụng DNS tunneling - một kỹ thuật gửi hoặc truy xuất dữ liệu và lệnh thông qua các gói truy vấn DNS để giao tiếp với máy chủ C&C. Ngoài ra, mã độc này còn đặt API Google Drive là kênh thay thế để gửi dữ liệu và nhận lệnh từ tin tặc.
Các chuyên gia nhận định, chiến dịch này cho thấy các nhóm tin tặc đang chuyển hướng nhiều hơn sang việc lợi dụng các dịch vụ hợp pháp làm cơ sở hạ tầng C&C một cách tinh vi để tránh bị phát hiện.
Cách tốt nhất để bảo vệ người dùng khỏi các cuộc tấn công này là luôn cảnh giác trước bất kỳ tài liệu lạ, chưa rõ nguồn gốc được gửi qua email. Đồng thời, không truy cập vào các liên kết trong tài liệu khi chưa xác minh được nguồn gửi.
ĐT
Theo WorldStar
16:00 | 24/09/2018
11:00 | 19/02/2019
09:00 | 31/05/2018
14:00 | 16/01/2024
23:00 | 03/03/2019
08:00 | 29/03/2019
10:00 | 28/03/2024
16:00 | 13/02/2019
09:54 | 07/08/2017
07:00 | 17/10/2024
Các tin tặc Triều Tiên mới đây đã bị phát hiện đang phân phối một Trojan truy cập từ xa (RAT) và backdoor chưa từng được ghi nhận trước đây có tên là VeilShell, như một phần của chiến dịch tấn công mạng nhắm vào các cơ quan, tổ chức tại Campuchia và các quốc gia Đông Nam Á khác.
10:00 | 28/08/2024
Theo cảnh báo mới nhất từ Cơ quan An ninh mạng và Cơ sở hạ tầng Mỹ (CISA) và Cục Điều tra Liên bang Mỹ (FBI) các cuộc tấn công bằng mã độc tống tiền BlackSuit đã lan rộng trên nhiều lĩnh vực, cơ sở hạ tầng quan trọng bao gồm các cơ sở thương mại, chăm sóc sức khỏe và y tế công cộng, cơ sở hạ tầng của chính phủ và một số cơ sở sản xuất trọng yếu.
13:00 | 21/08/2024
Mặc dù đã có những biện pháp kiểm duyệt từ Google, tuy nhiên kho ứng dụng Play Store dành cho nền tảng Android vẫn thường xuyên ghi nhận xuất hiện các phần mềm có chứa mã độc.
09:00 | 02/08/2024
Chỉ vài ngày sau khi một lỗi trong phần mềm CrowdStrike khiến 8,5 triệu máy tính Windows bị sập, người dùng hệ điều hành này lại đang phải đối mặt với một vấn đề mới sau khi cài đặt bản cập nhật bảo mật tháng 7.
14:00 | 11/09/2024|Công nghệ PKI
11:00 | 03/09/2024|GP ATM
08:00 | 26/08/2024|GP ATM
10:00 | 19/08/2024|Tin tức sản phẩm
Một lỗ hổng bảo mật hiện đã được vá trong ứng dụng ChatGPT của OpenAI dành cho macOS có thể cho phép kẻ tấn công cài phần mềm gián điệp vào bộ nhớ của công cụ trí tuệ nhân tạo (AI).
11:00 | 24/10/2024
