Colina Thierry'ego
Opublikowany: Listopad 23, 2022
Microsoft ujawnił w zeszłym tygodniu, że grupa zagrożeń zidentyfikowana jako DEV-0569 stała za nową falą Royal ransomware i inne złośliwe oprogramowanie wdrażane za pośrednictwem linków phishingowych, legalnie wyglądających witryn i Google Ads.
Omijanie rozwiązań bezpieczeństwa to jeden z aspektów, w którym cyberprzestępcy czasami stają przed wyzwaniami. Jednym ze sposobów, w jaki mogą ominąć te rozwiązania, jest oszukanie użytkowników, aby ich wpuścili, klikając złośliwe linki lub pobierając szkodliwe oprogramowanie.
DEV-0569 wykorzystuje obie te techniki przeciwko użytkownikom, których jest celem. Grupa ta tworzy witryny phishingowe, używa formularzy kontaktowych w docelowych organizacjach, umieszcza instalatory na witrynach pobierania, które wyglądają na legalne, oraz wdraża Google Ads.
„Aktywność DEV-0569 wykorzystuje podpisane pliki binarne i dostarcza zaszyfrowane szkodliwe oprogramowanie” wyjaśnione Microsoft w swoim oświadczeniu z zeszłego tygodnia. Grupa jest również znana z intensywnego wykorzystywania technik unikania obrony i nadal używa narzędzia open source Nsudo do prób wyłączenia rozwiązań antywirusowych w ostatnich kampaniach.
„DEV-0569 w szczególności opiera się na złośliwych, phishingowych linkach, które wskazują na program do pobierania złośliwego oprogramowania udający instalator oprogramowania lub aktualizacje osadzone w wiadomościach spamowych, fałszywych stronach forum i komentarzach na blogach” – dodał gigant technologiczny.
Jednym z głównych celów DEV-0569 jest uzyskanie dostępu do urządzeń w bezpiecznych sieciach, co umożliwiłoby im wdrożenie ransomware Royal. W rezultacie grupa mogłaby stać się brokerem dostępu dla innych operatorów oprogramowania ransomware, sprzedając posiadany dostęp innym hakerom.
Ponadto grupa korzysta z Google Ads, aby zwiększyć swój zasięg i wtopić się w legalny ruch internetowy.
„Analitycy firmy Microsoft zidentyfikowali kampanię reklamową DEV-0569 wykorzystującą Google Ads, która wskazuje na legalny system dystrybucji ruchu (TDS) Keitaro, który zapewnia możliwości dostosowywania kampanii reklamowych poprzez śledzenie ruchu reklamowego i filtrowanie oparte na użytkownikach lub urządzeniach” – powiedziała firma . „Microsoft zauważył, że TDS przekierowuje użytkownika do legalnej strony pobierania lub, pod pewnymi warunkami, do złośliwej strony pobierania BATLOADER”.
Strategia ta pozwala zatem cyberprzestępcom ominąć zakresy adresów IP znanych rozwiązań piaskownicy bezpieczeństwa, wysyłając złośliwe oprogramowanie do określonych celów i adresów IP.
- blockchain
- pomysłowość
- portfele kryptowalutowe
- krypto-wymiana
- bezpieczeństwo cybernetyczne
- cyberprzestępcy
- Bezpieczeństwo cybernetyczne
- Departament Bezpieczeństwa Wewnętrznego
- cyfrowe portfele
- zapora
- Kaspersky
- malware
- Mcafee
- NexBLOC
- plato
- Platon Ai
- Analiza danych Platona
- Gra Platona
- PlatoDane
- platogaming
- Detektywi bezpieczeństwa
- VPN
- zabezpieczenia stron internetowych
- zefirnet
