Nhóm đe dọa tinh vi đằng sau Trojan truy cập từ xa JavaScript phức tạp (RAT) có tên JSOutProx đã phát hành phiên bản mới của phần mềm độc hại nhằm mục tiêu vào các tổ chức ở Trung Đông.
Công ty dịch vụ an ninh mạng Resecurity đã phân tích chi tiết kỹ thuật của nhiều sự cố liên quan đến phần mềm độc hại JSOutProx nhắm mục tiêu vào khách hàng tài chính và gửi thông báo thanh toán SWIFT giả nếu nhắm mục tiêu vào doanh nghiệp hoặc mẫu MoneyGram khi nhắm mục tiêu vào công dân tư nhân, công ty viết trong một báo cáo được công bố trong tuần này. Nhóm đe dọa này đã nhắm mục tiêu vào các tổ chức chính phủ ở Ấn Độ và Đài Loan, cũng như các tổ chức tài chính ở Philippines, Lào, Singapore, Malaysia, Ấn Độ - và hiện tại. Ả Rập Saudi.
Gene Yoo, Giám đốc điều hành của Resecurity cho biết, phiên bản mới nhất của JSOutProx là một chương trình rất linh hoạt và được tổ chức tốt từ góc độ phát triển, cho phép kẻ tấn công điều chỉnh chức năng cho phù hợp với môi trường cụ thể của nạn nhân.
Ông nói: “Đó là một phần mềm độc hại được cấy ghép với nhiều giai đoạn và có nhiều plug-in. “Tùy thuộc vào môi trường của nạn nhân, nó sẽ xâm nhập ngay và sau đó thực sự làm họ chảy máu hoặc đầu độc môi trường, tùy thuộc vào plugin nào được kích hoạt.”
Các cuộc tấn công này là chiến dịch mới nhất của nhóm tội phạm mạng có tên Solar Spider, dường như là nhóm duy nhất sử dụng phần mềm độc hại JSOutProx. Dựa trên mục tiêu của nhóm - điển hình là các tổ chức ở Ấn Độ, cũng như ở Châu Á - Thái Bình Dương, Châu Phi và Khu vực Trung Đông - nó có khả năng liên quan đến Trung Quốc, Bảo mật được nêu trong phân tích của nó.
Yoo nói: “Bằng cách lập hồ sơ các mục tiêu và một số chi tiết mà chúng tôi thu được về cơ sở hạ tầng, chúng tôi nghi ngờ rằng nó có liên quan đến Trung Quốc”.
“Trình cắm mô-đun rất khó hiểu…”
JSOutProx nổi tiếng trong ngành tài chính. Ví dụ: Visa đã ghi lại các chiến dịch sử dụng công cụ tấn công này vào năm 2023, bao gồm một chiến dịch nhằm vào một số ngân hàng ở khu vực Châu Á - Thái Bình Dương, công ty cho biết trong Báo cáo về các mối đe dọa hai năm một lần được xuất bản vào tháng 12.
Trojan truy cập từ xa (RAT) là một “cửa sau JavaScript có độ phức tạp cao, có khả năng plugin mô-đun, có thể chạy các lệnh shell, tải xuống, tải lên và thực thi các tệp, thao tác hệ thống tệp, thiết lập tính bền vững, chụp ảnh màn hình và thao tác bàn phím và chuột”. sự kiện,” Visa nêu trong báo cáo của mình. “Những tính năng độc đáo này cho phép phần mềm độc hại tránh bị hệ thống bảo mật phát hiện và lấy được nhiều thông tin tài chính và thanh toán nhạy cảm từ các tổ chức tài chính mục tiêu.
JSOutProx thường xuất hiện dưới dạng tệp PDF của tài liệu tài chính trong kho lưu trữ zip. Nhưng thực sự, đó là JavaScript thực thi khi nạn nhân mở tệp. Giai đoạn đầu tiên của cuộc tấn công thu thập thông tin trên hệ thống và liên lạc với các máy chủ ra lệnh và kiểm soát bị xáo trộn thông qua DNS động. Giai đoạn thứ hai của cuộc tấn công tải xuống bất kỳ plug-in nào trong số 14 plug-in để tiến hành các cuộc tấn công tiếp theo, bao gồm giành quyền truy cập vào Outlook và danh sách liên hệ của người dùng cũng như bật hoặc tắt proxy trên hệ thống.
RAT tải xuống các plugin từ GitHub - hoặc gần đây hơn là GitLab - để có vẻ hợp pháp.
Resecurity cho biết trong phân tích của mình: “Việc phát hiện ra phiên bản mới của JSOutProx, cùng với việc khai thác các nền tảng như GitHub và GitLab, nhấn mạnh những nỗ lực không ngừng nghỉ và tính nhất quán phức tạp của những tác nhân độc hại này”.
Kiếm tiền từ dữ liệu tài chính Trung Đông
Theo báo cáo về mối đe dọa của Visa, khi Solar Spider xâm phạm người dùng, những kẻ tấn công sẽ thu thập thông tin, chẳng hạn như số tài khoản chính và thông tin xác thực của người dùng, sau đó thực hiện nhiều hành động độc hại chống lại nạn nhân.
Báo cáo của Visa cho biết: “Phần mềm độc hại JSOutProx gây ra mối đe dọa nghiêm trọng đối với các tổ chức tài chính trên toàn thế giới và đặc biệt là các tổ chức trong khu vực AP vì những thực thể này thường xuyên trở thành mục tiêu của phần mềm độc hại này”.
Visa cho biết các công ty nên đào tạo nhân viên về cách xử lý các thư từ đáng ngờ, không mong muốn để giảm thiểu mối đe dọa từ phần mềm độc hại. Ngoài ra, mọi trường hợp phần mềm độc hại đều phải được điều tra và khắc phục hoàn toàn để ngăn ngừa tái nhiễm.
Yoo của Resecurity cho biết các công ty lớn hơn và các cơ quan chính phủ có nhiều khả năng bị nhóm này tấn công hơn vì Solar Spider nhắm đến những công ty thành công nhất. Tuy nhiên, trong hầu hết các trường hợp, các công ty không phải thực hiện các bước cụ thể đối với mối đe dọa mà thay vào đó tập trung vào các chiến lược phòng thủ chuyên sâu, ông nói.
Yoo nói: “Người dùng nên tập trung vào việc không nhìn vào vật thể sáng bóng trên bầu trời, giống như người Trung Quốc đang tấn công, mà điều họ cần làm là tạo ra một nền tảng tốt hơn”. “Có khả năng vá lỗi, phân đoạn mạng và quản lý lỗ hổng tốt. Nếu bạn làm điều đó thì không điều nào trong số này sẽ” ảnh hưởng đến người dùng của bạn.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/threat-intelligence/solar-spider-spins-up-new-malware-to-entrap-saudi-arabian-banks
- : có
- :là
- :không phải
- 14
- 2023
- 7
- a
- Giới thiệu
- truy cập
- Theo
- Tài khoản
- hành động
- thực sự
- Ngoài ra
- Châu Phi
- chống lại
- cơ quan
- cho phép
- Cho phép
- Ngoài ra
- an
- phân tích
- phân tích
- và
- bất kì
- xuất hiện
- xuất hiện
- lưu trữ
- LÀ
- xung quanh
- AS
- At
- tấn công
- Tấn công
- Các cuộc tấn công
- cửa sau
- Ngân hàng
- dựa
- BE
- bởi vì
- được
- sau
- Hơn
- nhưng
- by
- Chiến dịch
- Chiến dịch
- CAN
- khả năng
- giám đốc điều hành
- Trung Quốc
- Trung Quốc
- Công dân
- thu thập
- thu thập
- Các công ty
- công ty
- hoàn toàn
- phức tạp
- Tiến hành
- liên lạc
- kết
- tạo
- Credentials
- khách hàng
- TỘI PHẠM MẠNG
- dữ liệu
- phân phối
- Tùy
- chi tiết
- Phát hiện
- Phát triển
- phát hiện
- dns
- do
- tài liệu
- don
- tải về
- Tải xuống
- năng động
- Đông
- giáo dục
- những nỗ lực
- hay
- nhấn mạnh
- nhân viên
- kích hoạt
- cho phép
- Doanh nghiệp
- thực thể
- Môi trường
- đặc biệt
- thành lập
- trốn tránh
- sự kiện
- ví dụ
- thi hành
- Thi công
- khai thác
- giả mạo
- Tính năng
- Tập tin
- Các tập tin
- tài chính
- thông tin tài chính
- Học viện Tài chính
- tài chính
- Công ty
- hãng
- Tên
- linh hoạt
- Tập trung
- Trong
- Nền tảng
- thường xuyên
- từ
- chức năng
- xa hơn
- đạt được
- GitHub
- Đi
- tốt
- Chính phủ
- cơ quan chính phủ
- Nhóm
- xử lý
- Có
- có
- he
- cao
- Độ đáng tin của
- Hướng dẫn
- Tuy nhiên
- HTTPS
- if
- Va chạm
- in
- Bao gồm
- Ấn Độ
- ngành công nghiệp
- thông tin
- Cơ sở hạ tầng
- ví dụ
- thay vì
- tổ chức
- liên quan đến
- IT
- ITS
- JavaScript
- jpg
- nổi tiếng
- laos
- mới nhất
- hợp pháp
- Lượt thích
- Có khả năng
- liên kết
- Danh sách
- tìm kiếm
- Malaysia
- độc hại
- phần mềm độc hại
- quản lý
- Tên đệm
- Trung Đông
- Giảm nhẹ
- mô-đun
- MoneyGram
- chi tiết
- hầu hết
- nhiều
- phải
- Cần
- mạng
- Mới
- Mới nhất
- Không áp dụng
- thông báo
- tại
- số
- vật
- được
- thu được
- of
- on
- ONE
- có thể
- mở ra
- or
- tổ chức
- Outlook
- một phần
- Vá
- thanh toán
- kiên trì
- quan điểm
- Philippines
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- Plugin
- bổ sung
- đặt ra
- ngăn chặn
- chính
- riêng
- profiling
- chương trình
- công bố
- CON CHUỘT
- có thật không
- gần đây
- khu
- liên quan
- phát hành
- không ngừng
- xa
- truy cập từ xa
- báo cáo
- ngay
- chạy
- s
- Nói
- Saudi
- Ả Rập Saudi
- nói
- ảnh chụp màn hình
- Thứ hai
- an ninh
- phân khúc
- nhạy cảm
- nghiêm trọng
- Các máy chủ
- DỊCH VỤ
- một số
- Shell
- nên
- Điểm tham quan
- Singapore
- bầu trời
- hệ mặt trời
- một số
- tinh vi
- riêng
- Traineeship
- giai đoạn
- quy định
- Các bước
- chiến lược
- thành công
- như vậy
- đáng ngờ
- SWIFT
- hệ thống
- hệ thống
- thợ may
- Đài Loan
- Hãy
- Mục tiêu
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- Kỹ thuật
- mẫu
- việc này
- Sản phẩm
- Philippines
- thế giới
- Them
- sau đó
- Kia là
- họ
- điều này
- tuần này
- những
- mối đe dọa
- Báo cáo Đe doạ
- các mối đe dọa
- đến
- công cụ
- Trojan
- thường
- độc đáo
- không được yêu cầu
- người sử dang
- Người sử dụng
- sử dụng
- nhiều
- phiên bản
- rất
- thông qua
- nạn nhân
- thị thực
- dễ bị tổn thương
- we
- tuần
- TỐT
- Điều gì
- khi nào
- cái nào
- với
- thế giới
- sẽ
- đã viết
- Bạn
- trên màn hình
- zephyrnet
- Zip