Kẻ tấn công liên kết Black Basta nhắm mục tiêu bằng phần mềm độc hại SystemBC

Tác giả ChatGPT, T.Tám 15, 2024, 07:07:05 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 3 Khách đang xem chủ đề.

Một chiến dịch lừa đảo xã hội đang diễn ra với các liên kết được cho là có liên quan đến nhóm ransomware Black Basta đã được liên kết với "nhiều nỗ lực xâm nhập" với mục tiêu tiến hành đánh cắp thông tin xác thực và triển khai công cụ thả phần mềm độc hại có tên SystemBC.

Rapid7 cho biết : "Mồi nhử ban đầu được các tác nhân đe dọa sử dụng vẫn giữ nguyên: một quả bom email sau đó cố gắng gọi cho những người dùng bị ảnh hưởng và đưa ra giải pháp giả mạo", đồng thời cho biết thêm "các cuộc gọi bên ngoài thường được thực hiện tới những người dùng bị ảnh hưởng thông qua Microsoft Teams. "


Sau đó, chuỗi tấn công sẽ thuyết phục người dùng tải xuống và cài đặt phần mềm truy cập từ xa hợp pháp có tên AnyDesk, phần mềm này hoạt động như một kênh để triển khai các tải trọng tiếp theo và lọc dữ liệu nhạy cảm.

Điều này bao gồm việc sử dụng một tệp thực thi có tên "AntiSpam.exe" nhằm mục đích tải xuống các bộ lọc thư rác qua email và kêu gọi người dùng nhập thông tin đăng nhập Windows của họ để hoàn tất cập nhật.

Tiếp theo là thực thi một số tệp nhị phân, tệp DLL và tập lệnh PowerShell, bao gồm đèn hiệu HTTP dựa trên Golang để thiết lập liên hệ với máy chủ từ xa, proxy SOCKS và SystemBC.

Để giảm thiểu rủi ro do mối đe dọa gây ra, bạn nên chặn tất cả các giải pháp máy tính từ xa chưa được phê duyệt và đề phòng các cuộc gọi điện thoại và tin nhắn đáng ngờ được cho là từ nhân viên CNTT nội bộ.

Tiết lộ này được đưa ra khi SocGholish (còn gọi là FakeUpdates), GootLoader và Raspberry Robin đã nổi lên như những chủng bộ tải được quan sát phổ biến nhất vào năm 2024, sau đó chúng đóng vai trò là bước đệm cho ransomware, theo dữ liệu từ ReliaQuest.

Công ty an ninh mạng cho biết : "GootLoader mới lọt vào danh sách top ba năm nay, thay thế QakBot khi hoạt động của nó sụt giảm".

"Các trình tải phần mềm độc hại thường được quảng cáo trên các diễn đàn tội phạm mạng web đen như XSS và Khai thác, nơi chúng được tiếp thị cho tội phạm mạng đang tìm cách tạo điều kiện thuận lợi cho việc xâm nhập mạng và phân phối tải trọng. Những trình tải này thường được cung cấp thông qua các mô hình đăng ký, với phí hàng tháng cấp quyền truy cập vào các bản cập nhật thường xuyên, hỗ trợ và các tính năng mới được thiết kế để tránh bị phát hiện."

Một lợi thế của cách tiếp cận dựa trên đăng ký này là nó cho phép ngay cả những kẻ đe dọa có chuyên môn kỹ thuật hạn chế thực hiện các cuộc tấn công tinh vi.

Các cuộc tấn công lừa đảo cũng đã được quan sát thấy việc phát tán phần mềm độc hại đánh cắp thông tin có tên là 0bj3ctivity Stealer thông qua một trình tải khác có tên Ande Loader như một phần của cơ chế phân phối nhiều lớp.

eSentire cho biết : "Việc phân phối phần mềm độc hại thông qua các tập lệnh bị mã hóa và làm xáo trộn, kỹ thuật chèn bộ nhớ cũng như sự cải tiến liên tục của Ande Loader với các tính năng như chống gỡ lỗi và làm xáo trộn chuỗi nhấn mạnh sự cần thiết của các cơ chế phát hiện nâng cao và nghiên cứu liên tục".

Các chiến dịch này chỉ là chiến dịch mới nhất trong một loạt các cuộc tấn công lừa đảo và kỹ thuật xã hội đã được phát hiện trong những tuần gần đây, ngay cả khi các tác nhân đe dọa đang ngày càng sử dụng mã QR giả cho mục đích xấu:

  • Chiến dịch ClearFake tận dụng các trang web bị xâm nhập để phát tán phần mềm độc   Đăng nhập để xem liên kết với lý do tải xuống bản cập nhật Google Chrome
  • Một cuộc tấn công lừa đảo sử dụng các mồi nhử theo chủ đề công việc để phân phối AsyncRAT, Pure HVNC, XWorm, Venom RAT thông qua trình tải shellcode Python
  • Chiến dịch sử dụng các trang web giả mạo giả mạo HSBC, Santander, Virgin Money và Wise để cung cấp bản sao của phần mềm Quản lý và giám sát từ xa AnyDesk (RMM) cho người dùng Windows và macOS, sau đó được sử dụng để đánh cắp dữ liệu nhạy cảm
  • Một trang web giả mạo ("win-rar[.]co") dường như đang phân phối WinRAR được sử dụng để triển khai ransomware, công cụ khai thác tiền điện tử và kẻ đánh cắp thông tin có tên Kematian Stealer được lưu trữ trên GitHub
  • Các chiến dịch tải xuống theo từng đợt sử dụng các quảng cáo độc hại hoặc các trang web bị xâm nhập đóng vai trò là đường dẫn cho NetSupport RAT
  • Một chiến dịch quảng cáo độc hại trên mạng xã hội nhằm chiếm quyền điều khiển các trang Facebook để quảng cáo một trang web chỉnh sửa ảnh có trí tuệ nhân tạo (AI) có vẻ hợp pháp thông qua các quảng cáo trả phí nhằm dụ nạn nhân tải xuống công cụ RMM của ITarian và sử dụng nó để cung cấp Lumma Stealer

Các nhà nghiên cứu của Trend Micro cho biết: "Việc nhắm mục tiêu người dùng mạng xã hội vào các hoạt động độc hại làm nổi bật tầm quan trọng của các biện pháp bảo mật mạnh mẽ để bảo vệ thông tin xác thực tài khoản và ngăn chặn truy cập trái phép".