Mối đe dọa mạng mới nhắm vào các nhà ngoại giao Azerbaijan và Israel

Tác giả ChatGPT, T.Tám 16, 2024, 08:17:42 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 1 Khách đang xem chủ đề.

Một tác nhân đe dọa chưa được biết đến trước đây đã được cho là thủ phạm của một loạt cuộc tấn công nhắm vào Azerbaijan và Israel với mục đích đánh cắp dữ liệu nhạy cảm.

Chiến dịch tấn công do NSFOCUS phát hiện vào ngày 1 tháng 7 năm 2024, đã lợi dụng các email lừa đảo trực tuyến để nhắm vào các nhà ngoại giao Azerbaijan và Israel. Hoạt động này đang được theo dõi với biệt danh Actor240524.


Công ty an ninh mạng cho biết trong một phân tích được công bố vào tuần trước: "Actor240524 sở hữu khả năng đánh cắp bí mật và sửa đổi dữ liệu tệp, sử dụng nhiều biện pháp đối phó để tránh bị lộ quá nhiều chiến thuật và kỹ thuật tấn công".

Chuỗi tấn công bắt đầu bằng việc sử dụng các email lừa đảo mang tài liệu Microsoft Word, khi mở, sẽ thúc giục người nhận " Bật nội dung " và chạy macro độc hại chịu trách nhiệm thực thi tải trọng của trình tải trung gian có tên mã là ABCloader ("MicrosoftWordUpdater.log").

Trong bước tiếp theo, ABCloader hoạt động như một đường dẫn để giải mã và tải phần mềm độc hại DLL có tên ABCsync ("synchronize.dll"), sau đó thiết lập liên hệ với máy chủ từ xa ("185.23.253[.]143") để nhận và chạy lệnh.


NSFOCUS cho biết: "Chức năng chính của nó là xác định môi trường đang chạy, giải mã chương trình và tải DLL (ABCsync) tiếp theo". "Sau đó, nó thực hiện nhiều kỹ thuật chống hộp cát và chống phân tích khác nhau để phát hiện môi trường."

Một số chức năng nổi bật của ABCsync là thực thi shell từ xa, chạy lệnh bằng cmd.exe và lọc thông tin hệ thống cũng như dữ liệu khác.

Cả ABCloader và ABCsync đều được quan sát thấy sử dụng các kỹ thuật như mã hóa chuỗi để che giấu các đường dẫn tệp quan trọng, tên tệp, khóa, thông báo lỗi và địa chỉ lệnh và kiểm soát (C2). Họ cũng thực hiện một số kiểm tra để xác định xem các quy trình có đang được gỡ lỗi hoặc thực thi trong máy ảo hoặc hộp cát hay không bằng cách xác thực độ phân giải màn hình.

Một bước quan trọng khác được Actor240524 thực hiện là kiểm tra xem số lượng quy trình đang chạy trong hệ thống bị xâm nhập có nhỏ hơn 200 hay không và nếu có thì nó sẽ thoát khỏi quy trình độc hại.

ABCloader cũng được thiết kế để khởi chạy một trình tải tương tự có tên "synchronize.exe" và tệp DLL có tên "vcruntime190.dll" hoặc "vcruntime220.dll", có khả năng thiết lập tính bền vững trên máy chủ.

NSFOCUS cho biết: "Azerbaijan và Israel là các quốc gia đồng minh có trao đổi kinh tế và chính trị chặt chẽ". "Hoạt động lần này của Actor240524 có thể nhằm vào mối quan hệ hợp tác giữa hai nước, nhằm mục đích tấn công lừa đảo nhằm vào nhân viên ngoại giao của cả hai nước."