Colin Thierry
Publisert på: November 23, 2022
Microsoft avslørte forrige uke at en trusselgruppe identifisert som DEV-0569 sto bak en ny bølge av Royal ransomware og annen skadelig programvare distribuert gjennom phishing-koblinger, nettsteder som ser legitime ut og Google Ads.
Å omgå sikkerhetsløsninger er et aspekt der trusselaktører noen ganger møter utfordringer. En måte de kan omgå disse løsningene på er ved å lure brukere til å slippe dem inn ved å klikke på skadelige lenker eller laste ned skadelig programvare.
DEV-0569 bruker begge disse teknikkene mot brukerne de retter seg mot. Trusselgruppen oppretter phishing-nettsteder, bruker kontaktskjemaer på målrettede organisasjoner, er vert for installatører på nedlastingssider som ser legitime ut, og distribuerer Google Ads.
"DEV-0569-aktivitet bruker signerte binærfiler og leverer krypterte skadevarenyttelaster," forklarte Microsoft i sin uttalelse forrige uke. Gruppen er også kjent for å bruke forsvarsunndragelsesteknikker og har fortsatt å bruke åpen kildekode-verktøyet Nsudo for å forsøke å deaktivere antivirusløsninger nylig i kampanjer.
"DEV-0569 er spesielt avhengig av malvertising, phishing-lenker som peker til en malware-nedlaster som utgir seg som programvareinstallatører eller oppdateringer innebygd i spam-e-poster, falske forumsider og bloggkommentarer," la teknologigiganten til.
Et av DEV-0569s hovedmål er å få tilgang til enheter innenfor sikre nettverk, noe som vil tillate dem å distribuere Royal løsepengeprogramvare. Som et resultat kan gruppen bli en tilgangsmegler for andre ransomware-operatører ved å selge tilgangen de har til andre hackere.
I tillegg bruker gruppen Google Ads for å utvide rekkevidden og smelte sammen med legitim internetttrafikk.
"Microsoft-forskere identifiserte en DEV-0569-malvertising-kampanje som utnytter Google Ads som peker til det legitime trafikkdistribusjonssystemet (TDS) Keitaro, som gir muligheter til å tilpasse reklamekampanjer via sporing av annonsetrafikk og bruker- eller enhetsbasert filtrering," sa selskapet. . "Microsoft observerte at TDS omdirigerer brukeren til en legitim nedlastingsside, eller under visse betingelser, til den ondsinnede BATLOADER-nedlastingssiden."
Denne strategien lar dermed trusselaktørene omgå IP-områder av kjente sikkerhetssandboxing-løsninger ved å sende skadevare til spesifikke mål og IP-er.
- blockchain
- coingenius
- cryptocurrency lommebøker
- kryptoverveksling
- cybersikkerhet
- nettkriminelle
- Cybersecurity
- innenriksdepartementet
- digitale lommebøker
- brannmur
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- plato ai
- Platon Data Intelligence
- Platon spill
- PlatonData
- platogaming
- Sikkerhetsdetektiver
- VPN
- nettside sikkerhet
- zephyrnet
