DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Chuyên gia cảnh báo về nhóm hacker nhắm mục tiêu vào hàng không và quốc phòng
Các tổ chức trong ngành hàng không, không gian vũ trụ, giao thông vận tải, sản xuất và quốc phòng đã trở thành mục tiêu của một nhóm tin tặc từ năm 2017 như một phần của chuỗi các chiến dịch lừa đảo trực tuyến để phân phối nhiều loại trojan truy cập từ xa (RAT) khi hệ thống bị xâm nhập.
Nhóm tin tặc có tên TA2541, được phát hiện bởi công ty bảo mật doanh nghiệp Proofpoint, đã sử dụng phần mềm độc hại như AsyncRAT và NetWire để "nhắm một số lượng lớn các mục tiêu thông qua việc phát tán vô số tin nhắn rác". Mục tiêu cuối cùng của các cuộc tấn công vẫn chưa được xác định.
Tin tặc sử dụng chiến thuật tấn công phi kỹ thuật bằng việc gửi tin nhắn lừa đảo với các thông điệp mồi nhử liên quan đến hàng không, hậu cần, giao thông vận tải và du lịch. TA2541 đã lợi dụng dịch bệnh COVID-19 để gửi đi nhiều tin nhắn lừa đảo vào mùa xuân năm 2020, phân phát email liên quan đến các lô hàng thiết bị bảo vệ cá nhân hoặc bộ dụng cụ thử nghiệm.
Sherrod DeGrippo, Phó chủ tịch nghiên cứu và phát hiện mối đe dọa tại Proofpoint, cho biết: "Mặc dù TA2541 nhất quán trong một số hành vi, chẳng hạn như sử dụng email mạo danh công ty hàng không để phát tán trojan truy cập từ xa, nhưng nhóm tin tặc đã thay đổi phương thức gửi, tệp đính kèm, URL, cơ sở hạ tầng và loại phần mềm độc hại."
Các chiến dịch trước đây sử dụng các tệp đính kèm Microsoft Word chứa macro để triển khai RAT, tuy nhiên các biến thể gần đây lại bao gồm các liên kết đến các dịch vụ đám mây để lưu trữ phần mềm độc hại. Các cuộc tấn công lừa đảo được cho là nhắm vào hàng trăm tổ chức trên toàn cầu, với các mục tiêu được phát hiện ở Bắc Mỹ, Châu Âu và Trung Đông.
Ngoài việc sử dụng lặp lại các chủ đề nóng để gửi email giả mạo, các chuỗi lây nhiễm gần đây sử dụng các URL ứng dụng Discord trỏ đến các tệp nén chứa phần mềm độc hại AgentTesla hoặc Imminent Monitor. Hành động này cho thấy tin tặc đã dụng các mạng phân phối nội dung để phát tán các trình thu thập thông tin nhằm điều khiển từ xa máy móc bị xâm nhập.
DeGrippo cho biết: “Giảm thiểu các mối đe dọa được lưu trữ trên các dịch vụ hợp pháp vẫn là một vấn đề nan giải vì nó liên quan đến việc triển khai các giải pháp phát hiện mạnh mẽ hoặc chính sách chặn của các dịch vụ lưu trữ".
Các kỹ thuật nâng cao được TA2541 sử dụng bao gồm việc sử dụng máy chủ riêng ảo (VPS) cho cơ sở hạ tầng gửi email và DNS động cho các hoạt động ra lệnh và kiểm soát (C2).
Với việc Microsoft công bố kế hoạch tắt macro theo mặc định cho các tệp tải xuống từ internet bắt đầu từ tháng 4 năm 2022, động thái này dự kiến sẽ khiến tin tặc đẩy mạnh và chuyển hướng sang các phương pháp khác nếu macro trở thành một phương thức phân phối kém hiệu quả.
DeGrippo giải thích: “Trong khi các tài liệu Office chứa macro độc hại là một trong những kỹ thuật được sử dụng thường xuyên để tải xuống và thực thi các mã độc, thì việc lạm dụng các dịch vụ lưu trữ hợp pháp cũng đã phổ biến hơn".
"Ngoài ra, chúng tôi thường xuyên quan sát thấy hacker sử dụng mã độc được 'chứa' trong tệp lưu trữ và tệp hình ảnh (ví dụ: .ZIP, .ISO, v.v.), điều này cũng có thể ảnh hưởng đến khả năng phát hiện và phân tích. Tin tặc sẽ liên tục thay đổi và tìm kiếm các phương thức mới để triển khai phần mềm độc hại".
Nhóm tin tặc có tên TA2541, được phát hiện bởi công ty bảo mật doanh nghiệp Proofpoint, đã sử dụng phần mềm độc hại như AsyncRAT và NetWire để "nhắm một số lượng lớn các mục tiêu thông qua việc phát tán vô số tin nhắn rác". Mục tiêu cuối cùng của các cuộc tấn công vẫn chưa được xác định.
Tin tặc sử dụng chiến thuật tấn công phi kỹ thuật bằng việc gửi tin nhắn lừa đảo với các thông điệp mồi nhử liên quan đến hàng không, hậu cần, giao thông vận tải và du lịch. TA2541 đã lợi dụng dịch bệnh COVID-19 để gửi đi nhiều tin nhắn lừa đảo vào mùa xuân năm 2020, phân phát email liên quan đến các lô hàng thiết bị bảo vệ cá nhân hoặc bộ dụng cụ thử nghiệm.
Sherrod DeGrippo, Phó chủ tịch nghiên cứu và phát hiện mối đe dọa tại Proofpoint, cho biết: "Mặc dù TA2541 nhất quán trong một số hành vi, chẳng hạn như sử dụng email mạo danh công ty hàng không để phát tán trojan truy cập từ xa, nhưng nhóm tin tặc đã thay đổi phương thức gửi, tệp đính kèm, URL, cơ sở hạ tầng và loại phần mềm độc hại."
Các chiến dịch trước đây sử dụng các tệp đính kèm Microsoft Word chứa macro để triển khai RAT, tuy nhiên các biến thể gần đây lại bao gồm các liên kết đến các dịch vụ đám mây để lưu trữ phần mềm độc hại. Các cuộc tấn công lừa đảo được cho là nhắm vào hàng trăm tổ chức trên toàn cầu, với các mục tiêu được phát hiện ở Bắc Mỹ, Châu Âu và Trung Đông.
Ngoài việc sử dụng lặp lại các chủ đề nóng để gửi email giả mạo, các chuỗi lây nhiễm gần đây sử dụng các URL ứng dụng Discord trỏ đến các tệp nén chứa phần mềm độc hại AgentTesla hoặc Imminent Monitor. Hành động này cho thấy tin tặc đã dụng các mạng phân phối nội dung để phát tán các trình thu thập thông tin nhằm điều khiển từ xa máy móc bị xâm nhập.
DeGrippo cho biết: “Giảm thiểu các mối đe dọa được lưu trữ trên các dịch vụ hợp pháp vẫn là một vấn đề nan giải vì nó liên quan đến việc triển khai các giải pháp phát hiện mạnh mẽ hoặc chính sách chặn của các dịch vụ lưu trữ".
Các kỹ thuật nâng cao được TA2541 sử dụng bao gồm việc sử dụng máy chủ riêng ảo (VPS) cho cơ sở hạ tầng gửi email và DNS động cho các hoạt động ra lệnh và kiểm soát (C2).
Với việc Microsoft công bố kế hoạch tắt macro theo mặc định cho các tệp tải xuống từ internet bắt đầu từ tháng 4 năm 2022, động thái này dự kiến sẽ khiến tin tặc đẩy mạnh và chuyển hướng sang các phương pháp khác nếu macro trở thành một phương thức phân phối kém hiệu quả.
DeGrippo giải thích: “Trong khi các tài liệu Office chứa macro độc hại là một trong những kỹ thuật được sử dụng thường xuyên để tải xuống và thực thi các mã độc, thì việc lạm dụng các dịch vụ lưu trữ hợp pháp cũng đã phổ biến hơn".
"Ngoài ra, chúng tôi thường xuyên quan sát thấy hacker sử dụng mã độc được 'chứa' trong tệp lưu trữ và tệp hình ảnh (ví dụ: .ZIP, .ISO, v.v.), điều này cũng có thể ảnh hưởng đến khả năng phát hiện và phân tích. Tin tặc sẽ liên tục thay đổi và tìm kiếm các phương thức mới để triển khai phần mềm độc hại".
Theo: thehackernews