SQUIRREWAFFLE lợi dụng chiến dịch malspam để phát tán Qakbot và Cobalt Strike - Bảo mật

SQUIRREWAFFLE lợi dụng chiến dịch malspam để phát tán Qakbot và Cobalt Strike

Một chiến dịch thư rác mới xuất hiện với một đường dẫn đến một trình tải phần mềm độc hại không có giấy phép trước đây. Loại trình tải này cho phép những kẻ tấn công truy cập vào mạng lưới doanh nghiệp và phát tán các payload độc hại.

Trong một bài viết về kỹ thuật của Cisco Talos, các nhà nghiên cứu cho biết: “Những hành vi lây nhiễm này cũng tạo điều kiện phát tán các phần mềm độc hại như Qakbot và Cobalt Strike. Đây là hai trong số mối nguy hại phổ biến nhất thường nhắm vào các doanh nghiệp trên toàn thế giới.”

Chiến dịch malspam được cho rằng đã đi vào hoạt động hồi giữa tháng 9/2021. Các email do những kẻ tấn công tạo ra sẽ đính kèm một tệp Microsoft Office độc hại. Khi mở ra, tệp này sẽ kích hoạt chuỗi lây nhiễm dẫn đến tải xuống một phần mềm độc hại có tên là SQUIRRELWAFFLE.

Bằng việc bắt chước một kỹ thuật tấn công giả mạo dưới hình thức email khác, chiến dịch mới này đánh cắp một chuỗi email và trá hình những email này với vẻ bề ngoài hợp pháp nhưng thật ra đang lừa gạt người dùng khởi chạy file đính kèm.

Hơn thế nữa, ngôn ngữ được sử dụng trong những email giả mạo khớp với ngôn ngữ được sử dụng trong chuỗi email gốc. Điều đó chứng tỏ loại tấn công này đã áp dụng phương pháp nội địa hóa nội dung email để tăng khả năng thành công của chiến dịch. Top 5 ngôn ngữ được sử dụng để phát tán trình tải phần mềm độc hại đó là: tiếng Anh (76%), tiếng Pháp (10%), tiếng Đức (7%), tiếng Hà Lan (4%), và tiếng Ba Lan (3%).

Dựa trên số liệu do một công ty an ninh mạng tổng hợp, đỉnh điểm của số lượng email được phát tán để thực hiện các cuộc tấn công là vào khoảng ngày 26/09.

Cơ sở hạ tầng phân phối phần mềm độc hại trước đây là các máy chủ web đã bị xâm nhập. Các máy chủ này chủ yếu chạy các phiên bản của nền tảng quản trị nội dung (CMS) WordPress. Trong khi đó, kỹ thuật tấn công nói trên thì sử dụng các tập lệnh “antibot” để chặn các yêu cầu web từ các địa chỉ IP. Tuy nhiên, những địa chỉ IP này không phải của nạn nhân mà là của các nền tảng phân tích tự động và các tổ chức nghiên cứu bảo mật.

Ngoài việc phát tán phần mềm độc hại Qakbot và công cụ kiểm tra thâm nhập Cobalt Strike trên các endpoint, trình tải phần mềm độc hại còn kết nối với máy chủ do kẻ tấn công điều khiển từ xa để truy xuất những payload thứ cấp. Đây là một trình tải có thể thực hiện nhiều mục tiêu tấn công khác nhau.

Trong một bài phân tích về phần mềm độc hại SQUIRRELWAFFLE hồi tháng vừa rồi, Zscaler cho biết: “Sau vụ mạng botnet độc hại Emotet bị triệt phá đầu năm nay, các tác nhân nguy hại khác đang nối bước. Dường như SQUIRRELWAFFLE là một trình tải mới đang tận dụng lỗ hổng này. Hiện vẫn chưa có xác minh nào cho biết SQUIRRELWAFFLE được phát triển và phát tán bởi tác nhân nguy hại trước đây hay một nhóm tấn công mới. Tuy nhiên, trình tải này đã sử dụng các kỹ thuật phát tán tương tự như Emotet từng dùng.”

Theo The Hacker News

The post SQUIRREWAFFLE lợi dụng chiến dịch malspam để phát tán Qakbot và Cobalt Strike appeared first on SecurityDaily.



from SecurityDaily https://ift.tt/2Yd3Qhy

Comments

Post a Comment

Popular posts from this blog

Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận?

Image
 Tranh luận hay công kích cái nhân? Vì sao người Việt thích công kích cá nhân khi tranh luận? Công kích cá nhân (ad hominem) là một dạng nguỵ biện phổ biến trong tranh luận đặc biệt là trong những cuộc tranh luận giữa người Việt với nhau ngoài đời lẫn trên mạng xã hội. Đối với những người tôn trọng lý lẽ khi tranh luận, công kích cá nhân là loại nguỵ biện bị khinh rẻ nhất vì nó hoàn toàn không dựa trên lý lẽ, biến vấn đề cần tranh luận thành mâu thuẫn cá nhân và gây tổn thương sâu sắc cho đối phương. Công kích cá nhân khi tranh luận cũng giống như sử dụng những chiêu cấm kị trong võ thuật như móc mắt, đá vào hạ bộ hoặc sử dụng ám khí trong khi đấu võ vậy vì nó gây sát thương một cách không quan minh chính đại. Công kích cá nhân chia ra làm nhiều loại: - Chế giễu (humiliate): dựa vào nhược điểm về ngoại hình, nghề nghiệp, gia cảnh hoặc xuất thân của người kia gây tổn thương tâm lý. - Chụp mũ, vu khống (slander): dựa vào một sơ hở trong lúc tranh luận của đối phương mà gánh ghép cho họ m
Read more

Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu - Bảo mật

Image
Phần mềm độc hại Android ‘Roaming Mantis’ nhắm vào các nước Châu Âu Lần đầu tiên một chiến dịch kiếm tiền nhắm vào các thiết bị Android và phát tán phần mềm độc hại trên điện thoại thông qua kỹ thuật tấn công giả mạo bằng SMS kể từ năm 2018 phát tán phần mềm độc hại với mục tiêu tấn công là các nạn nhân ở Pháp và Đức . Với tên gọi Roaming Mantis , loạt hoạt động mới nhất của malware này được quan sát vào năm 2021 liên quan đến việc gửi các văn bản giả mạo về vận chuyển có chứa địa chỉ URL dẫn đến một trang đích. Tại đây, người dùng Android bị lây nhiễm banking trojan gọi là Wroba trong khi đó người dùng iPhone bị chuyển hướng đến một trang lừa đảo giả mạo là trang web chính thức của Apple. Dựa trên dữ liệu từ xa do Kaspersky thu thập vào tháng 7/2021 và tháng 2/2022, các quốc gia bị ảnh hưởng nhiều nhất là Pháp, Nhật Bản, Ấn Độ, Trung Quốc, Đức và Hàn Quốc. Cũng được theo dõi dưới tên MoqHao và XLoader (đừng nhầm với phần mềm độc hại cùng tên chuyên đánh cắp thông tin nhắm mục tiê
Read more

iOS của Apple bị lỗ hổng dooLock mới tấn công - Bảo mật

Image
iOS của Apple bị lỗ hổng dooLock mới tấn công Một lỗ hổng từ chối dịch vụ ( DoS ) dai dẳng đã được phát hiện trong hệ điều hành iOS của Apple có khả năng khiến các thiết bị Apple gặp sự cố hoặc bị khởi động lặp lại khi kết nối với thiết bị tương thích với Apple Home. Lỗ hổng có tên là “doorLock” rất bình thường ở chỗ nó có thể được kích hoạt chỉ bằng việc đổi tên thiết bị HomeKit thành một chuỗi lớn hơn 500.000 ký tự. Điều này khiến nỗ lực kết nối của iPhone hoặc iPad đến thiết bị không được phản hồi và rơi vào vòng lặp lỗi hệ thống và khởi động lại vô thời hạn. Vấn đề này chỉ có thể khắc phục bằng cách khôi phục thiết bị bị ảnh hưởng qua Chế độ Khôi phục (Recovery) và Nâng cấp phần mềm thiết bị (DFU). HomeKit là một khung phần mềm của Apple cho phép người dùng iOS và iPadOS đặt cấu hình, giao tiếp và điều khiển các phụ kiện và thiết bị nhà thông minh (smart-home) bằng thiết bị Apple. Nhà nghiên cứu bảo mật Trevor Spiniolas cho biết : “Bất kỳ thiết bị nào có cài đặt phiên bản iOS
Read more