คอลิน เธียร์รี่
เผยแพร่เมื่อ: November 23, 2022
Microsoft เปิดเผยเมื่อสัปดาห์ที่แล้วว่ากลุ่มภัยคุกคามที่ระบุว่าเป็น DEV-0569 อยู่เบื้องหลังคลื่นลูกใหม่ของ Royal ransomware และมัลแวร์อื่นๆ ที่ใช้งานผ่านลิงก์ฟิชชิง เว็บไซต์ที่ดูถูกต้อง และ Google Ads
การหลีกเลี่ยงโซลูชันด้านความปลอดภัยเป็นแง่มุมหนึ่งที่ผู้คุกคามต้องเผชิญกับความท้าทายในบางครั้ง วิธีหนึ่งที่พวกเขาสามารถข้ามวิธีแก้ปัญหาเหล่านี้ได้คือการหลอกลวงผู้ใช้ให้เข้ามาโดยคลิกลิงก์ที่เป็นอันตรายหรือดาวน์โหลดซอฟต์แวร์ที่เป็นอันตราย
DEV-0569 ใช้เทคนิคทั้งสองนี้กับผู้ใช้ที่พวกเขากำหนดเป้าหมาย กลุ่มภัยคุกคามสร้างเว็บไซต์ฟิชชิ่ง ใช้แบบฟอร์มการติดต่อกับองค์กรเป้าหมาย โฮสต์โปรแกรมติดตั้งบนไซต์ดาวน์โหลดที่ดูถูกต้องตามกฎหมาย และทำให้ Google Ads ใช้งานได้
“กิจกรรม DEV-0569 ใช้ไบนารีที่มีลายเซ็นและส่งมอบเพย์โหลดมัลแวร์ที่เข้ารหัส” อธิบาย Microsoft ในแถลงการณ์เมื่อสัปดาห์ที่แล้ว กลุ่มนี้ยังเป็นที่ทราบกันดีว่าใช้เทคนิคการหลบเลี่ยงการป้องกันอย่างมาก และยังคงใช้เครื่องมือโอเพนซอร์ส Nsudo เพื่อพยายามปิดใช้งานโซลูชันป้องกันไวรัสในแคมเปญเมื่อเร็ว ๆ นี้
“DEV-0569 อาศัยมัลแวร์โฆษณา ลิงก์ฟิชชิ่งที่ชี้ไปยังตัวดาวน์โหลดมัลแวร์ที่ปลอมตัวเป็นตัวติดตั้งซอฟต์แวร์หรืออัปเดตที่ฝังอยู่ในอีเมลสแปม หน้าฟอรัมปลอม และความคิดเห็นในบล็อก” ยักษ์ใหญ่ด้านเทคโนโลยีกล่าวเสริม
หนึ่งในเป้าหมายหลักของ DEV-0569 คือการเข้าถึงอุปกรณ์ภายในเครือข่ายที่ปลอดภัย ซึ่งจะช่วยให้สามารถติดตั้ง Royal ransomware ได้ เป็นผลให้กลุ่มสามารถเป็นนายหน้าการเข้าถึงสำหรับผู้ให้บริการแรนซัมแวร์รายอื่นโดยการขายการเข้าถึงที่พวกเขามีให้กับแฮ็กเกอร์รายอื่น
นอกจากนี้ กลุ่มนี้กำลังใช้ Google Ads เพื่อขยายการเข้าถึงและผสมผสานกับการรับส่งข้อมูลทางอินเทอร์เน็ตที่ถูกกฎหมาย
“นักวิจัยของไมโครซอฟต์ระบุแคมเปญมัลแวร์ DEV-0569 ที่ใช้ประโยชน์จาก Google Ads ซึ่งชี้ไปที่ Keitaro ระบบกระจายปริมาณการใช้ข้อมูลที่ถูกต้องตามกฎหมาย (TDS) ซึ่งให้ความสามารถในการปรับแต่งแคมเปญโฆษณาผ่านการติดตามปริมาณการใช้โฆษณาและการกรองตามผู้ใช้หรืออุปกรณ์” บริษัทกล่าว . “Microsoft สังเกตเห็นว่า TDS เปลี่ยนเส้นทางผู้ใช้ไปยังไซต์ดาวน์โหลดที่ถูกกฎหมาย หรือภายใต้เงื่อนไขบางประการ ไปยังไซต์ดาวน์โหลด BATLOADER ที่เป็นอันตราย”
กลยุทธ์นี้จึงช่วยให้ผู้คุกคามสามารถข้ามช่วง IP ของโซลูชันแซนด์บ็อกซ์ความปลอดภัยที่รู้จักได้โดยการส่งมัลแวร์ไปยังเป้าหมายและ IP ที่เฉพาะเจาะจง
- blockchain
- เหรียญอัจฉริยะ
- กระเป๋าสตางค์ cryptocurrency
- การแลกเปลี่ยนการเข้ารหัสลับ
- การรักษาความปลอดภัยในโลกไซเบอร์
- อาชญากรไซเบอร์
- cybersecurity
- กรมความมั่นคงภายในประเทศ
- กระเป๋าสตางค์ดิจิตอล
- ไฟร์วอลล์
- Kaspersky
- มัลแวร์
- แมคคาฟี
- เน็กซ์บล๊อก
- เพลโต
- เพลโตไอ
- เพลโตดาต้าอินเทลลิเจนซ์
- เกมเพลโต
- เพลโตดาต้า
- เพลโตเกม
- นักสืบความปลอดภัย
- VPN
- ความปลอดภัยของเว็บไซต์
- ลมทะเล