Colin Thierry
Publicerad på: November 23, 2022
Microsoft avslöjade förra veckan att en hotgrupp identifierad som DEV-0569 låg bakom en ny våg av Royal Ransomware och annan skadlig programvara som distribueras via nätfiske-länkar, webbplatser med legitimt utseende och Google Ads.
Att kringgå säkerhetslösningar är en aspekt där hotaktörer ibland möter utmaningar. Ett sätt de kan kringgå dessa lösningar är genom att lura användare att släppa in dem genom att klicka på skadliga länkar eller ladda ner skadlig programvara.
DEV-0569 använder båda dessa tekniker mot de användare de riktar sig till. Hotgruppen skapar nätfiskewebbplatser, använder kontaktformulär på riktade organisationer, är värd för installatörer på nedladdningswebbplatser som ser legitima ut och distribuerar Google Ads.
"DEV-0569-aktivitet använder signerade binärer och levererar krypterade skadliga nyttolaster," förklarade Microsoft i sitt uttalande förra veckan. Gruppen är också känd för att i hög grad använda tekniker för försvarsflykt och har fortsatt att använda open source-verktyget Nsudo för att försöka inaktivera antiviruslösningar nyligen i kampanjer.
"DEV-0569 förlitar sig särskilt på malvertising, nätfiske-länkar som pekar på en nedladdare av skadlig programvara som utger sig som programvaruinstallatörer eller uppdateringar inbäddade i spam-e-postmeddelanden, falska forumsidor och bloggkommentarer", tillade teknikjätten.
Ett av DEV-0569:s huvudmål är att få tillgång till enheter inom säkra nätverk, vilket skulle tillåta dem att distribuera Royal ransomware. Som ett resultat kan gruppen bli en åtkomstmäklare för andra ransomware-operatörer genom att sälja den åtkomst de har till andra hackare.
Dessutom använder gruppen Google Ads för att utöka sin räckvidd och smälta in med legitim internettrafik.
"Microsoft-forskare identifierade en DEV-0569 malvertising-kampanj som utnyttjar Google Ads som pekar på det legitima trafikdistributionssystemet (TDS) Keitaro, som ger möjligheter att anpassa reklamkampanjer via spårning av annonstrafik och användar- eller enhetsbaserad filtrering," sa företaget . "Microsoft observerade att TDS omdirigerar användaren till en legitim nedladdningswebbplats, eller under vissa förhållanden, till den skadliga nedladdningsplatsen för BATLOADER."
Denna strategi tillåter således hotaktörerna att kringgå IP-intervall av kända säkerhetslösningar för sandlådor genom att skicka skadlig programvara till specifika mål och IP-adresser.
