Colin Thierry
Veröffentlicht am: 23. November 2022
Microsoft enthüllte letzte Woche, dass eine als DEV-0569 identifizierte Bedrohungsgruppe hinter einer neuen Welle von Royal steckt Ransomware und andere Malware, die über Phishing-Links, legitim aussehende Websites und Google Ads bereitgestellt wird.
Das Umgehen von Sicherheitslösungen ist ein Aspekt, bei dem Bedrohungsakteure manchmal vor Herausforderungen stehen. Eine Möglichkeit, diese Lösungen zu umgehen, besteht darin, Benutzer zu täuschen, sie hereinzulassen, indem sie auf bösartige Links klicken oder schädliche Software herunterladen.
DEV-0569 wendet diese beiden Techniken gegen die Benutzer an, auf die sie abzielen. Die Bedrohungsgruppe erstellt Phishing-Websites, verwendet Kontaktformulare für Zielorganisationen, hostet Installer auf legitim aussehenden Download-Sites und setzt Google Ads ein.
„Die DEV-0569-Aktivität verwendet signierte Binärdateien und liefert verschlüsselte Malware-Payloads“, erklärt Microsoft in seiner Erklärung von letzter Woche. Die Gruppe ist auch dafür bekannt, Techniken zur Umgehung der Verteidigung stark einzusetzen, und hat das Open-Source-Tool Nsudo weiterhin verwendet, um zu versuchen, Antivirus-Lösungen in letzter Zeit in Kampagnen zu deaktivieren.
„DEV-0569 stützt sich insbesondere auf Malvertising, Phishing-Links, die auf einen Malware-Downloader verweisen, der sich als Software-Installer oder Updates ausgibt, die in Spam-E-Mails, gefälschte Forenseiten und Blog-Kommentare eingebettet sind“, fügte der Technologieriese hinzu.
Eines der Hauptziele von DEV-0569 ist der Zugriff auf Geräte in sicheren Netzwerken, die es ihnen ermöglichen würden, Royal Ransomware einzusetzen. Infolgedessen könnte die Gruppe ein Zugangsvermittler für andere Ransomware-Betreiber werden, indem sie den Zugang, den sie haben, an andere Hacker verkauft.
Darüber hinaus nutzt die Gruppe Google Ads, um ihre Reichweite zu erweitern und sich in den legitimen Internetverkehr einzufügen.
„Forscher von Microsoft identifizierten eine DEV-0569-Malvertising-Kampagne, die Google Ads nutzt und auf das legitime Verkehrsverteilungssystem (TDS) Keitaro verweist, das Möglichkeiten bietet, Werbekampagnen durch Verfolgung des Anzeigenverkehrs und benutzer- oder gerätebasierte Filterung anzupassen“, sagte das Unternehmen . „Microsoft hat beobachtet, dass das TDS den Benutzer auf eine legitime Download-Site oder unter bestimmten Bedingungen auf die bösartige BATLOADER-Download-Site umleitet.“
Diese Strategie ermöglicht es den Bedrohungsakteuren somit, IP-Bereiche bekannter Sicherheits-Sandboxing-Lösungen zu umgehen, indem sie Malware an bestimmte Ziele und IPs senden.
- Blockchain
- Einfallsreichtum
- Cryptocurrency Brieftaschen
- Kryptoaustausch
- Internet-Sicherheit
- Cyber-Kriminelle
- Internet-Sicherheit
- Heimatschutzministerium
- digitale Brieftaschen
- Firewall
- Kaspersky
- Malware
- McAfee
- NexBLOC
- Plato
- platon ai
- Datenintelligenz von Plato
- Plato-Spiel
- PlatoData
- Platogaming
- Sicherheitsdetektive
- VPN
- Website-Sicherheit
- Zephyrnet
