Colin Thierry
Microsoft afslørede i sidste uge, at en trusselgruppe identificeret som DEV-0569 stod bag en ny bølge af Royal ransomware og anden malware implementeret via phishing-links, websteder med legitimt udseende og Google Ads.
At omgå sikkerhedsløsninger er et aspekt, hvor trusselsaktører nogle gange står over for udfordringer. En måde, de kan omgå disse løsninger på, er ved at narre brugere til at lukke dem ind ved at klikke på ondsindede links eller downloade skadelig software.
DEV-0569 bruger begge disse teknikker mod de brugere, de målretter mod. Trusselsgruppen opretter phishing-websteder, bruger kontaktformularer på målrettede organisationer, hoster installatører på downloadwebsteder, der ser legitime ud, og implementerer Google Ads.
"DEV-0569-aktivitet bruger signerede binære filer og leverer krypterede malware-nyttelaster," forklarede Microsoft i sin erklæring i sidste uge. Gruppen er også kendt for i høj grad at bruge forsvarunddragelsesteknikker og har fortsat med at bruge open source-værktøjet Nsudo til at forsøge at deaktivere antivirusløsninger for nylig i kampagner.
"DEV-0569 er især afhængig af malvertising, phishing-links, der peger på en malware-downloader, der poserer som softwareinstallatører eller opdateringer indlejret i spam-e-mails, falske forumsider og blogkommentarer," tilføjede teknologigiganten.
Et af DEV-0569s hovedmål er at få adgang til enheder inden for sikre netværk, hvilket vil give dem mulighed for at implementere Royal ransomware. Som et resultat kan gruppen blive en adgangsmægler for andre ransomware-operatører ved at sælge den adgang, de har, til andre hackere.
Derudover bruger gruppen Google Ads til at udvide sin rækkevidde og blande sig med legitim internettrafik.
"Microsoft-forskere identificerede en DEV-0569-malvertising-kampagne, der udnytter Google Ads, og som peger på det legitime trafikdistributionssystem (TDS) Keitaro, som giver mulighed for at tilpasse reklamekampagner via sporing af annoncetrafik og bruger- eller enhedsbaseret filtrering," sagde virksomheden. . "Microsoft observerede, at TDS'en omdirigerer brugeren til et lovligt downloadwebsted eller under visse betingelser til det ondsindede BATLOADER-downloadsted."
Denne strategi giver således trusselsaktørerne mulighed for at omgå IP-områder af kendte sikkerhedssandboxing-løsninger ved at sende malware til specifikke mål og IP'er.
- blockchain
- coingenius
- cryptocurrency tegnebøger
- kryptoverveksling
- cybersikkerhed
- cyberkriminelle
- Cybersecurity
- afdeling for indenrigssikkerhed
- digitale tegnebøger
- firewall
- Kaspersky
- malware
- Mcafee
- Nexbloc
- plato
- platon ai
- Platon Data Intelligence
- Platon spil
- PlatoData
- platogaming
- Sikkerhedsdetektiver
- VPN
- website sikkerhed
- zephyrnet
