Mã độc TrickBot tái xuất với những thủ thuật tấn công mới - Bảo mật

Mã độc TrickBot tái xuất với những thủ thuật tấn công mới

Những kẻ đứng sau phần mềm độc hại TrickBot đã tái xuất với những thủ thuật mới nhằm tăng cường sự phát tán bằng cách mở rộng phạm vi tấn công, sau đó triển khai mã độc tống tiền ransomware như Conti.

Theo một báo cáo của IBM X-force, tác nhân nguy hại có biệt danh ITG23 và Wizard Spider, được phát hiện là hợp tác với các băng nhóm tội phạm mạng khác như Hive0105, Hive0106 (hay còn gọi là TA551 hoặc Shathak) và Hive0107, để tăng cường các chiến dịch phát tán phần mềm độc hại độc quyền.

Hai nhà nghiên cứu Ole Villadsen và Charlotte Hammond cho biết: “Những băng nhóm tội phạm mạng này phát tán phần mềm độc hại vào mạng của công ty bằng cách chiếm đoạt quyền điều khiển các chuỗi email, sử dụng biểu mẫu phản hồi giả mạo của khách hàng và thao túng nhân viên thông qua các cuộc gọi lừa đảo như “BazaCall”.

Kể từ khi xuất hiện vào năm 2016, TrickBot đã phát triển từ một trojan banking thành một giải pháp phần mềm tội phạm dựa trên mô-đun Windows, nổi bật về khả năng phục hồi, duy trì và cập nhật bộ công cụ và cơ sở hạ tầng bất chấp cơ quan chức năng và các nhóm ngành nỗ lực gỡ bỏ. Ngoài TrickBot, nhóm hacker Wizard Spider còn được cho là đã phát triển phần mềm độc hại BazarLoader và một cửa hậu có tên là Anchor.

Những cuộc tấn công hồi đầu năm nay dựa vào chiến dịch gửi email có chứa dữ liệu Excel và cuộc gọi lừa gạt “BazaCall” để phát tán phần mềm độc hại vào mạng công ty. Trong khi đó, các cuộc xâm nhập bắt đầu từ tháng 6/2021 rộ lên với sự hợp tác giữa hai băng nhóm tội phạm mạng nhằm tăng cường cơ sở hạ tầng phát tán bằng cách chiếm quyền kiểm soát email và tạo ra những biểu mẫu khảo sát khách hàng giả mạo trên những website của các tổ chức để triển khai payloads Cobalt Strike độc hại.

Các nhà nghiên cứu cho biết: “Động thái này không chỉ làm tăng mức độ xâm phạm mà còn đa dạng hóa các phương thức phát tán với mục tiêu ngày càng có nhiều nạn nhân tiềm năng bị lây nhiễm.”

Trong một chuỗi lây nhiễm được IBM theo dõi hồi cuối tháng 8/2021, Hive0107 được cho là đã áp dụng một chiến thuật mới liên quan đến việc gửi email nhắm vào các công ty để thông báo rằng trang web của họ đã thực hiện các cuộc tấn công từ chối dịch vụ (DDos) vào máy chủ, sau đó thúc giục họ nhấn vào liên kết để có thêm bằng chứng. Khi bấm vào liên kết, tệp lưu trữ ZIP chứa trình tải xuống JavaScript (JS) độc hại sẽ được tải xuống, và lần lượt liên kết với một URL từ xa để lây nhiễm phần mềm độc hại BazarLoader có nhiệm vụ thả Cobalt Strike và TrickBot.

Các nhà nghiên cứu kết luận: “ITG23 cũng đã cải tiến ransomware thông qua việc tạo ra phần mềm độc hại Conti ransomware-as-a-service (RaaS) và sử dụng BazarLoader và TrickBot để tấn công. Bước tiến mới này thể hiện sức mạnh của sự kết nối trong giới tội phạm mạng và khả năng tận dụng các mối quan hệ này để gia tăng số lượng các tổ chức, doanh nghiệp bị nhiễm phần mềm độc hại.”

Theo The Hacker News

The post Mã độc TrickBot tái xuất với những thủ thuật tấn công mới appeared first on SecurityDaily.



from SecurityDaily https://ift.tt/3n9vhkF

Comments

Post a Comment

Popular posts from this blog

Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận?

Image
 Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận? Công kích cá nhân (ad hominem) là một dạng nguỵ biện phổ biến trong tranh luận đặc biệt là trong những cuộc tranh luận giữa người Việt với nhau ngoài đời lẫn trên mạng xã hội. Đối với những người tôn trọng lý lẽ khi tranh luận, công kích cá nhân là loại nguỵ biện bị khinh rẻ nhất vì nó hoàn toàn không dựa trên lý lẽ, biến vấn đề cần tranh luận thành mâu thuẫn cá nhân và gây tổn thương sâu sắc cho đối phương. Công kích cá nhân khi tranh luận cũng giống như sử dụng những chiêu cấm kị trong võ thuật như móc mắt, đá vào hạ bộ hoặc sử dụng ám khí trong khi đấu võ vậy vì nó gây sát thương một cách không quan minh chính đại. Công kích cá nhân chia ra làm nhiều loại: - Chế giễu (humiliate): dựa vào nhược điểm về ngoại hình, nghề nghiệp, gia cảnh hoặc xuất thân của người kia gây tổn thương tâm lý. - Chụp mũ, vu khống (slander): dựa vào một sơ hở trong lúc tranh luận của đối phương mà gánh ghép cho họ m
Read more

Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu - Bảo mật

Image
Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu Lần đầu tiên một chiến dịch kiếm tiền nhắm vào các thiết bị Android và phát tán phần mềm độc hại trên điện thoại thông qua kỹ thuật tấn công giả mạo bằng SMS kể từ năm 2018 phát tán phần mềm độc hại với mục tiêu tấn công là các nạn nhân ở Pháp và Đức . Với tên gọi Roaming Mantis , loạt hoạt động mới nhất của malware này được quan sát vào năm 2021 liên quan đến việc gửi các văn bản giả mạo về vận chuyển có chứa địa chỉ URL dẫn đến một trang đích. Tại đây, người dùng Android bị lây nhiễm banking trojan gọi là Wroba trong khi đó người dùng iPhone bị chuyển hướng đến một trang lừa đảo giả mạo là trang web chính thức của Apple. Dựa trên dữ liệu từ xa do Kaspersky thu thập vào tháng 7/2021 và tháng 2/2022, các quốc gia bị ảnh hưởng nhiều nhất là Pháp, Nhật Bản, Ấn Độ, Trung Quốc, Đức và Hàn Quốc. Cũng được theo dõi dưới tên MoqHao và XLoader (đừng nhầm với phần mềm độc hại cùng tên chuyên đánh cắp thông tin nhắm mục tiê
Read more

iOS của Apple bị lỗ hổng dooLock mới tấn công - Bảo mật

Image
iOS của Apple bị lỗ hổng dooLock mới tấn công Một lỗ hổng từ chối dịch vụ ( DoS ) dai dẳng đã được phát hiện trong hệ điều hành iOS của Apple có khả năng khiến các thiết bị Apple gặp sự cố hoặc bị khởi động lặp lại khi kết nối với thiết bị tương thích với Apple Home. Lỗ hổng có tên là “doorLock” rất bình thường ở chỗ nó có thể được kích hoạt chỉ bằng việc đổi tên thiết bị HomeKit thành một chuỗi lớn hơn 500.000 ký tự. Điều này khiến nỗ lực kết nối của iPhone hoặc iPad đến thiết bị không được phản hồi và rơi vào vòng lặp lỗi hệ thống và khởi động lại vô thời hạn. Vấn đề này chỉ có thể khắc phục bằng cách khôi phục thiết bị bị ảnh hưởng qua Chế độ Khôi phục (Recovery) và Nâng cấp phần mềm thiết bị (DFU). HomeKit là một khung phần mềm của Apple cho phép người dùng iOS và iPadOS đặt cấu hình, giao tiếp và điều khiển các phụ kiện và thiết bị nhà thông minh (smart-home) bằng thiết bị Apple. Nhà nghiên cứu bảo mật Trevor Spiniolas cho biết : “Bất kỳ thiết bị nào có cài đặt phiên bản iOS
Read more