Colin Thierry
A Microsoft a múlt héten felfedte, hogy a DEV-0569 néven azonosított fenyegetéscsoport áll a Royal új hulláma mögött ransomware és más rosszindulatú programok, amelyeket adathalász linkeken, jogosnak tűnő webhelyeken és Google Ads szolgáltatáson keresztül telepítenek.
A biztonsági megoldások megkerülése az egyik olyan szempont, ahol a fenyegetés szereplői néha kihívásokkal néznek szembe. Az egyik módja annak, hogy megkerüljék ezeket a megoldásokat, ha megtévesztik a felhasználókat, hogy rosszindulatú hivatkozásokra kattintanak, vagy kártékony szoftvert töltenek le.
A DEV-0569 mindkét technikát alkalmazza az általa megcélzott felhasználók ellen. A fenyegetett csoport adathalász webhelyeket hoz létre, kapcsolatfelvételi űrlapokat használ a célzott szervezeteken, telepítőket lát el a legitimnek tűnő letöltési webhelyeken, és telepíti a Google Ads szolgáltatást.
„A DEV-0569 tevékenység aláírt binárisokat használ, és titkosított rosszindulatú programokat szállít” magyarázható A Microsoft múlt heti közleményében. A csoport arról is ismert, hogy erősen alkalmazza a védelmi kijátszási technikákat, és a közelmúltban kampányai során továbbra is az Nsudo nyílt forráskódú eszközt használja a víruskereső megoldások letiltására.
„A DEV-0569 különösen rosszindulatú reklámozásra, adathalász hivatkozásokra támaszkodik, amelyek szoftvertelepítőnek vagy spam e-mailekbe, hamis fórumoldalakra és blogbejegyzésekbe ágyazott frissítésekre mutatnak rá” – tette hozzá a technológiai óriás.
A DEV-0569 egyik fő célja a biztonságos hálózatokon belüli eszközökhöz való hozzáférés, ami lehetővé tenné számukra a Royal ransomware telepítését. Ennek eredményeként a csoport más zsarolóvírus-üzemeltetők hozzáférési közvetítőjévé válhat, ha eladja a hozzáférést más hackereknek.
Ezenkívül a csoport a Google Ads szolgáltatást használja, hogy kibővítse elérését, és beleolvadjon a legitim internetes forgalomba.
"A Microsoft kutatói azonosítottak egy DEV-0569 rosszindulatú reklámkampányt, amely a Google Ads szolgáltatást használja, amely a legitim forgalomelosztó rendszerre (TDS) a Keitaro-ra mutat, amely lehetővé teszi a hirdetési kampányok testreszabását a hirdetési forgalom nyomon követésével és a felhasználó- vagy eszközalapú szűréssel" - mondta a vállalat. . "A Microsoft megfigyelte, hogy a TDS átirányítja a felhasználót egy legitim letöltési oldalra, vagy bizonyos feltételek mellett a rosszindulatú BATLOADER letöltési oldalra."
Ez a stratégia így lehetővé teszi a fenyegetés szereplői számára, hogy megkerüljék az ismert biztonsági sandbox megoldások IP-tartományát, rosszindulatú programokat küldve meghatározott célpontokra és IP-címekre.
