Colin Thierry
Gepubliceerd op: 23 november 2022
Microsoft onthulde vorige week dat een bedreigingsgroep geïdentificeerd als DEV-0569 achter een nieuwe golf van Royal zat ransomware en andere malware die wordt ingezet via phishing-links, legitiem ogende websites en Google-advertenties.
Het omzeilen van beveiligingsoplossingen is een aspect waar bedreigingsactoren soms voor uitdagingen komen te staan. Een manier waarop ze deze oplossingen kunnen omzeilen, is door gebruikers te misleiden om ze binnen te laten door op kwaadaardige links te klikken of door schadelijke software te downloaden.
DEV-0569 gebruikt beide technieken tegen de gebruikers waarop ze zich richten. De bedreigingsgroep maakt phishing-websites, gebruikt contactformulieren op gerichte organisaties, host installatieprogramma's op downloadsites die er legitiem uitzien en implementeert Google Ads.
"DEV-0569-activiteit maakt gebruik van ondertekende binaire bestanden en levert gecodeerde malware-payloads", uitgelegd Microsoft in haar verklaring vorige week. Het is ook bekend dat de groep intensief gebruik maakt van verdedigingsontwijkingstechnieken en is de open-sourcetool Nsudo blijven gebruiken om te proberen antivirusoplossingen onlangs in campagnes uit te schakelen.
"DEV-0569 vertrouwt met name op malvertising, phishing-links die verwijzen naar een malware-downloader die zich voordoet als software-installatieprogramma's of updates die zijn ingesloten in spam-e-mails, valse forumpagina's en blogcommentaar", voegde de technologiegigant eraan toe.
Een van de belangrijkste doelen van DEV-0569 is om toegang te krijgen tot apparaten binnen beveiligde netwerken, waardoor ze Royal ransomware kunnen inzetten. Als gevolg hiervan zou de groep een toegangsmakelaar kunnen worden voor andere ransomware-operators door de toegang die ze hebben aan andere hackers te verkopen.
Bovendien gebruikt de groep Google Ads om zijn bereik uit te breiden en op te gaan in het legitieme internetverkeer.
"Microsoft-onderzoekers hebben een DEV-0569 malvertising-campagne geïdentificeerd die gebruikmaakt van Google Ads en die verwijst naar het legitieme verkeersdistributiesysteem (TDS) Keitaro, dat mogelijkheden biedt om advertentiecampagnes aan te passen via het volgen van advertentieverkeer en op gebruikers of apparaten gebaseerde filtering", aldus het bedrijf. . "Microsoft merkte op dat de TDS de gebruiker omleidt naar een legitieme downloadsite, of onder bepaalde voorwaarden, naar de kwaadaardige BATLOADER-downloadsite."
Deze strategie stelt de bedreigingsactoren dus in staat om IP-bereiken van bekende beveiligingssandboxing-oplossingen te omzeilen door malware naar specifieke doelen en IP's te sturen.
- blockchain
- vindingrijk
- cryptocurrency wallets
- cryptoexchange
- internetveiligheid
- cybercriminelen
- Cybersecurity
- Department of Homeland Security
- digitale portefeuilles
- firewall
- Kaspersky
- malware
- Mcafee
- NexBLOC
- Plato
- plato ai
- Plato gegevensintelligentie
- Plato-spel
- PlatoData
- platogamen
- Veiligheidsdetectives
- VPN
- website veiligheid
- zephyrnet
