Microsoft ค้นพบกลุ่มภัยคุกคามที่ใช้คลื่นลูกใหม่ของ Royal Ransomware PlatoBlockchain Data Intelligence ค้นหาแนวตั้ง AI.

Microsoft ค้นพบกลุ่มภัยคุกคามที่ใช้ Royal Ransomware คลื่นลูกใหม่

ประทับเวลา: 23 พฤศจิกายน 2022 12:23 น

คอลิน เธียร์รี่


คอลิน เธียร์รี่

เผยแพร่เมื่อ: November 23, 2022

Microsoft เปิดเผยเมื่อสัปดาห์ที่แล้วว่ากลุ่มภัยคุกคามที่ระบุว่าเป็น DEV-0569 อยู่เบื้องหลังคลื่นลูกใหม่ของ Royal ransomware และมัลแวร์อื่นๆ ที่ใช้งานผ่านลิงก์ฟิชชิง เว็บไซต์ที่ดูถูกต้อง และ Google Ads

การหลีกเลี่ยงโซลูชันด้านความปลอดภัยเป็นแง่มุมหนึ่งที่ผู้คุกคามต้องเผชิญกับความท้าทายในบางครั้ง วิธีหนึ่งที่พวกเขาสามารถข้ามวิธีแก้ปัญหาเหล่านี้ได้คือการหลอกลวงผู้ใช้ให้เข้ามาโดยคลิกลิงก์ที่เป็นอันตรายหรือดาวน์โหลดซอฟต์แวร์ที่เป็นอันตราย

DEV-0569 ใช้เทคนิคทั้งสองนี้กับผู้ใช้ที่พวกเขากำหนดเป้าหมาย กลุ่มภัยคุกคามสร้างเว็บไซต์ฟิชชิ่ง ใช้แบบฟอร์มการติดต่อกับองค์กรเป้าหมาย โฮสต์โปรแกรมติดตั้งบนไซต์ดาวน์โหลดที่ดูถูกต้องตามกฎหมาย และทำให้ Google Ads ใช้งานได้

“กิจกรรม DEV-0569 ใช้ไบนารีที่มีลายเซ็นและส่งมอบเพย์โหลดมัลแวร์ที่เข้ารหัส” อธิบาย Microsoft ในแถลงการณ์เมื่อสัปดาห์ที่แล้ว กลุ่มนี้ยังเป็นที่ทราบกันดีว่าใช้เทคนิคการหลบเลี่ยงการป้องกันอย่างมาก และยังคงใช้เครื่องมือโอเพนซอร์ส Nsudo เพื่อพยายามปิดใช้งานโซลูชันป้องกันไวรัสในแคมเปญเมื่อเร็ว ๆ นี้

“DEV-0569 อาศัยมัลแวร์โฆษณา ลิงก์ฟิชชิ่งที่ชี้ไปยังตัวดาวน์โหลดมัลแวร์ที่ปลอมตัวเป็นตัวติดตั้งซอฟต์แวร์หรืออัปเดตที่ฝังอยู่ในอีเมลสแปม หน้าฟอรัมปลอม และความคิดเห็นในบล็อก” ยักษ์ใหญ่ด้านเทคโนโลยีกล่าวเสริม

หนึ่งในเป้าหมายหลักของ DEV-0569 คือการเข้าถึงอุปกรณ์ภายในเครือข่ายที่ปลอดภัย ซึ่งจะช่วยให้สามารถติดตั้ง Royal ransomware ได้ เป็นผลให้กลุ่มสามารถเป็นนายหน้าการเข้าถึงสำหรับผู้ให้บริการแรนซัมแวร์รายอื่นโดยการขายการเข้าถึงที่พวกเขามีให้กับแฮ็กเกอร์รายอื่น

นอกจากนี้ กลุ่มนี้กำลังใช้ Google Ads เพื่อขยายการเข้าถึงและผสมผสานกับการรับส่งข้อมูลทางอินเทอร์เน็ตที่ถูกกฎหมาย

“นักวิจัยของไมโครซอฟต์ระบุแคมเปญมัลแวร์ DEV-0569 ที่ใช้ประโยชน์จาก Google Ads ซึ่งชี้ไปที่ Keitaro ระบบกระจายปริมาณการใช้ข้อมูลที่ถูกต้องตามกฎหมาย (TDS) ซึ่งให้ความสามารถในการปรับแต่งแคมเปญโฆษณาผ่านการติดตามปริมาณการใช้โฆษณาและการกรองตามผู้ใช้หรืออุปกรณ์” บริษัทกล่าว . “Microsoft สังเกตเห็นว่า TDS เปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ดาวน์โหลดที่ถูกกฎหมาย หรือภายใต้เงื่อนไขบางประการ ไปยังไซต์ดาวน์โหลด BATLOADER ที่เป็นอันตราย”

กลยุทธ์นี้จึงช่วยให้ผู้คุกคามสามารถข้ามช่วง IP ของโซลูชันแซนด์บ็อกซ์ความปลอดภัยที่รู้จักได้โดยการส่งมัลแวร์ไปยังเป้าหมายและ IP ที่เฉพาะเจาะจง

ประทับเวลา:

เพิ่มเติมจาก นักสืบความปลอดภัย