Colin Thierry
Julkaistu: Marraskuussa 23, 2022
Microsoft paljasti viime viikolla, että uuden Royal-aallon takana oli DEV-0569:ksi tunnistettu uhkaryhmä ransomware ja muut haittaohjelmat, jotka on otettu käyttöön tietojenkalastelulinkkien, aidon näköisten verkkosivustojen ja Google Adsin kautta.
Turvaratkaisujen ohittaminen on yksi näkökohta, jossa uhkatoimijat kohtaavat joskus haasteita. Yksi tapa ohittaa nämä ratkaisut on huijata käyttäjiä päästämään heidät sisään napsauttamalla haitallisia linkkejä tai lataamalla haitallisia ohjelmistoja.
DEV-0569 käyttää molempia näitä tekniikoita käyttäjiä vastaan, joihin ne kohdistuvat. Uhkaryhmä luo tietojenkalastelusivustoja, käyttää yhteydenottolomakkeita kohdeorganisaatioissa, isännöi asentajia lataussivustoille, jotka näyttävät laillisilta, ja ottaa käyttöön Google Adsin.
"DEV-0569-toiminta käyttää allekirjoitettuja binaareja ja toimittaa salattuja haittaohjelmia", selitti Microsoft tiedotti viime viikolla. Ryhmän tiedetään myös hyödyntävän voimakkaasti puolustusväärin tekniikoita, ja se on jatkanut avoimen lähdekoodin työkalun Nsudon käyttöä yrittääkseen poistaa virustorjuntaratkaisut käytöstä äskettäin kampanjoissa.
"DEV-0569 luottaa erityisesti haittaohjelmiin ja tietojenkalastelulinkkeihin, jotka osoittavat haittaohjelmien lataajaan, joka esiintyy ohjelmiston asentajana tai päivityksissä, jotka on upotettu roskapostiviesteihin, vääriin foorumisivuihin ja blogikommentteihin", teknologiajätti lisäsi.
Yksi DEV-0569:n päätavoitteista on päästä käsiksi suojatuissa verkoissa oleviin laitteisiin, jolloin ne voisivat ottaa käyttöön Royal ransomwaren. Seurauksena on, että ryhmästä voi tulla muiden ransomware-operaattoreiden pääsyvälittäjä myymällä heidän pääsynsä muille hakkereille.
Lisäksi ryhmä käyttää Google Adsia laajentaakseen kattavuuttaan ja sulautuakseen lailliseen internetliikenteeseen.
"Microsoftin tutkijat tunnistivat Google Adsia hyödyntävän DEV-0569-haittamarkkinointikampanjan, joka viittaa lailliseen liikenteenjakojärjestelmään (TDS) Keitaroon, joka tarjoaa mahdollisuuden muokata mainoskampanjoita seuraamalla mainosliikennettä ja käyttäjä- tai laitepohjaista suodatusta", yhtiö sanoi. . "Microsoft havaitsi, että TDS uudelleenohjaa käyttäjän lailliselle lataussivustolle tai tietyin edellytyksin haitalliselle BATLOADER-lataussivustolle."
Tämän strategian avulla uhkatekijät voivat siten ohittaa tunnettujen tietoturvaratkaisujen IP-alueet lähettämällä haittaohjelmia tiettyihin kohteisiin ja IP-osoitteisiin.
- blockchain
- coingenius
- cryptocurrency-lompakot
- cryptoexchange
- tietoverkkoturvallisuus
- verkkorikollisille
- tietoverkkojen
- sisäisen turvallisuuden osasto
- digitaaliset lompakot
- palomuuri
- Kaspersky
- haittaohjelmat
- McAfee
- NexBLOC
- Platon
- plato ai
- Platonin tietotieto
- Platon peli
- PlatonData
- platopeliä
- Turvaletket
- VPN
- verkkosivuilla turvallisuus
- zephyrnet
