Colin Thierry
Được đăng trên: Tháng Mười Một 23, 2022
Microsoft đã tiết lộ vào tuần trước rằng một nhóm đe dọa được xác định là DEV-0569 đứng sau một làn sóng tấn công mới của Hoàng gia. ransomware và phần mềm độc hại khác được triển khai thông qua các liên kết lừa đảo, các trang web có giao diện hợp pháp và Google Ads.
Bỏ qua các giải pháp bảo mật là một khía cạnh mà các tác nhân đe dọa đôi khi phải đối mặt với những thách thức. Một cách mà chúng có thể vượt qua các giải pháp này là đánh lừa người dùng để cho phép chúng truy cập bằng cách nhấp vào các liên kết độc hại hoặc tải xuống phần mềm độc hại.
DEV-0569 sử dụng cả hai kỹ thuật này để chống lại người dùng mà chúng nhắm mục tiêu. Nhóm đe dọa tạo các trang web lừa đảo, sử dụng biểu mẫu liên hệ trên các tổ chức được nhắm mục tiêu, lưu trữ trình cài đặt trên các trang tải xuống có vẻ hợp pháp và triển khai Google Ads.
“Hoạt động DEV-0569 sử dụng các tệp nhị phân đã ký và phân phối tải trọng phần mềm độc hại được mã hóa,” Giải thích Microsoft trong tuyên bố của mình vào tuần trước. Nhóm này cũng được biết là sử dụng nhiều kỹ thuật trốn tránh phòng thủ và đã tiếp tục sử dụng công cụ nguồn mở Nsudo để cố gắng vô hiệu hóa các giải pháp chống vi-rút gần đây trong các chiến dịch.
Gã khổng lồ công nghệ cho biết thêm: “DEV-0569 đáng chú ý là dựa vào các liên kết lừa đảo, quảng cáo độc hại trỏ đến trình tải xuống phần mềm độc hại giả làm trình cài đặt phần mềm hoặc bản cập nhật được nhúng trong email spam, trang diễn đàn giả mạo và nhận xét blog”.
Một trong những mục tiêu chính của DEV-0569 là giành quyền truy cập vào các thiết bị trong các mạng an toàn, điều này sẽ cho phép chúng triển khai phần mềm tống tiền Royal. Do đó, nhóm có thể trở thành nhà môi giới truy cập cho những kẻ khai thác ransomware khác bằng cách bán quyền truy cập mà họ có cho các tin tặc khác.
Ngoài ra, nhóm đang sử dụng Google Ads để mở rộng phạm vi tiếp cận và hòa nhập với lưu lượng truy cập internet hợp pháp.
“Các nhà nghiên cứu của Microsoft đã xác định chiến dịch quảng cáo độc hại DEV-0569 tận dụng Quảng cáo Google dẫn đến hệ thống phân phối lưu lượng truy cập hợp pháp (TDS) Keitaro, cung cấp khả năng tùy chỉnh chiến dịch quảng cáo thông qua theo dõi lưu lượng quảng cáo và lọc dựa trên người dùng hoặc thiết bị,” công ty cho biết . “Microsoft đã quan sát thấy rằng TDS chuyển hướng người dùng đến một trang web tải xuống hợp pháp hoặc trong một số điều kiện nhất định, đến trang web tải xuống BATLOADER độc hại.”
Do đó, chiến lược này cho phép các tác nhân đe dọa bỏ qua dải IP của các giải pháp hộp cát bảo mật đã biết bằng cách gửi phần mềm độc hại đến các mục tiêu và IP cụ thể.
