Hacking đã chuyển các cuộc tấn công từ ransomware sang phần mềm độc hại trojan

Hoài An, Trương Khánh Hợp| 19/11/2018 22:27
Theo dõi ICTVietnam trên

TA505 đã từng được sử dụng để spam tạo ra ransomware - bây giờ nó trở lại với một tập trung vào các cuộc tấn công phần mềm độc hại, truy cập từ xa dữ liệu tấn công trojan.

Kết quả hình ảnh cho Hacking group returns, switches attacks from ransomware to trojan malware

Một nhóm hack nổi tiếng đã trở lại với một chiến dịch mới nhằm cung cấp một trojan truy cập từ xa mới (RAT - remote access trojan) tới các nạn nhân để tạo ra một backdoor (cửa sau) vào máy tính để ăn cắp thông tin và thông tin ngân hàng.

Chiến dịch này bị nghi ngờ là hoạt động của TA505, một nhóm hacker có nguồn lực tích cực hoạt động từ năm 2014. Nhóm đã tung ra một số chiến dịch tấn công mạng lớn nhất trong những năm gần đây, với nạn nhân nhắm vào trojan ngân hàng Dridex, Locky ransomware, Jaff ransomware và hơn thế nữa.

Nhiều trong số các chiến dịch này đã được đưa ra với sự trợ giúp của botnet Necurs, một trong những máy phát thư rác lớn nhất được sử dụng bởi bọn tội phạm mạng.

Bây giờ TA505 đang chạy một chiến dịch mới, đã được nêu chi tiết bởi các nhà nghiên cứu tại công ty bảo mật Proofpoint. Phù hợp với sự thay đổi trọng tâm của các nhóm tội phạm mạng khác, TA505 đã chuyển từ phần mềm ransomware và trojans ngân hàng và giờ đây dường như tập trung vào RAT - bao gồm cả những RAT mới chỉ xuất hiện gần đây và những RAT chỉ được sử dụng hai lần trước đây. Trong cả hai trường hợp trước, những kẻ tấn công vẫn chưa được xác định.

Được các nhà nghiên cứu gọi là tRat, phần mềm độc hại chủ yếu nhắm mục tiêu vào các tổ chức tài chính và được phân phối với mục đích lấy cắp thông tin đăng nhập, dữ liệu tài chính và các thông tin khác hữu ích cho các hoạt động của tội phạm mạng. Các nhà nghiên cứu cũng cảnh báo rằng nó có thể có các khả năng khác chưa được đưa vào hoạt động.

Chiến dịch phần mềm độc hại lần đầu tiên được phát hiện vào cuối tháng 9, với các email lừa đảo cung cấp các tệp mục tiêu an toàn cần được mở. Nếu người dùng mở tệp đính kèm, tài liệu Word yêu cầu được bảo vệ bởi công ty bảo mật Symantec và yêu cầu người dùng bật macro để xem các tệp được bảo mật.

Chris Dawson, người đứng đầu về các vấn đề đe dọa tại Proofpoint cho biết: “Ngày càng nhiều các mối đe dọa bao gồm các thương hiệu an ninh như là một phần của kỹ thuật xã hội của chúng. Tuyên bố rằng một tài liệu được "bảo vệ" bởi một nhà cung cấp bảo mật sẽ có khả năng lừa người nhận truy cập vào các macro cho phép cài đặt phần mềm độc hại".

Phiên bản cập nhật của chiến dịch được phát hiện vào tháng 10 hơi phức tạp hơn, sử dụng nhiều dòng chủ đề khác nhau liên quan đến hóa đơn, với nhiều tài khoản khác nhau gửi tin nhắn đến từ các công ty hậu cần.

Trong những trường hợp này, tài liệu Word yêu cầu người dùng 'kích hoạt nội dung' để xem nội dung trong đó - nếu điều này được thực hiện, trojan sẽ được cài đặt, sẵn sàng lấy cắp dữ liệu từ nạn nhân. Chiến dịch này hiện chưa hoạt động nhưng các nhà nghiên cứu tin rằng những hoạt động trong tháng 10 có thể là một chiến dịch mở đầu cho một chiến dịch đầy đủ trong tương lai gần.

Dawson cho biết: "Đây dường như là một chiến dịch thử nghiệm với hàng ngàn tin nhắn, chủ yếu được gửi tới người dùng tại các tổ chức ngân hàng thương mại".

Sự thay đổi của TA505 đối với trojans dường như gợi ý một sự thay đổi trong chiến thuật cho nhóm, ban đầu tập trung vào lợi nhuận ngắn hạn, nhưng bây giờ dường như đang tham gia một trò chơi dài hơn.

Dawson cho biết: "Việc tiếp tục thử nghiệm và chấp nhận RAT và thông tin của nhóm đã phản ánh những chuyển động rộng lớn hơn từ các phần mềm độc hại phá hoại cao mà TA505 và các nhóm hacker khác có thể thu được lợi nhuận trong thời gian dài".

Proofpoint đã cung cấp thông tin về các Chỉ số về Thỏa hiệp (IOC - Indicators of Compromise) trong bài đăng của họ về phần mềm độc hại.

Nổi bật Tạp chí Thông tin & Truyền thông
  • 5G và những thay đổi toàn diện trong xây dựng thành phố thông minh
    Với tốc độ cực cao, độ trễ cực thấp, băng thông rộng và kết nối mật độ cực lớn, 5G là hạ tầng cốt lõi hỗ trợ toàn diện cho sự đổi mới và phát triển của thành phố thông minh trên tất cả các lĩnh vực, tác động tích cực vào công tác xây dựng và quản lý thành phố, tạo ra một môi trường sống tiện nghi, bền vững và an toàn hơn bao giờ hết.
  • Những động lực tăng trưởng thị trường chữ ký số toàn cầu
    Thị trường chữ ký số toàn cầu đang có ​​sự tăng trưởng chưa từng có khi các doanh nghiệp và cá nhân ngày càng áp dụng các giải pháp số để xác thực tài liệu và giao dịch an toàn.
  • ĐMST mở xã hội mang lại cho 90% doanh nghiệp cơ hội tạo giá trị kinh doanh bền vững
    Theo bà Nguyễn Phương Linh, Viện trưởng Viện MSD, hơn 90% các doanh nghiệp cho rằng đổi mới sáng tạo (ĐMST) mở xã hội mang lại cho doanh nghiệp cơ hội tạo ra giá trị kinh doanh bền vững, tác động tích cực đến xã hội và môi trường.
  • ‏FPT đẩy mạnh phát triển giải pháp low-code tại thị trường Hàn Quốc‏
    ‏Mới đây, FPT vừa ký kết thỏa thuận hợp tác ba năm với OutSystems, chính thức trở thành đối tác phân phối và triển khai tại thị trường Hàn Quốc, đảm bảo thời gian ra mắt phần mềm của khách hàng được rút ngắn và tối ưu chi phí.
  • Người giữ bình yên nơi vùng cao
    Huyện Sơn Động là huyện vùng cao của tỉnh Bắc Giang, có tỷ lệ người dân tộc thiểu số (DTTS) cao nhất tỉnh, chiếm 56,92%, với địa hình rừng núi, giao thông đi lại khó khăn, phong tục tập quán, bản sắc văn hóa đa dạng chính vì vậy công tác đảm bảo an ninh trật tự ở các bản làng luôn là nhiệm vụ được các cấp ủy Đảng quan tâm. Do đó, đội ngũ già làng, trưởng bản, người uy tín luôn là đội ngũ nòng cốt góp phần xây dựng khối đại đoàn kết dân tộc, giữ gìn an ninh trật tự xã hội trong cộng đồng.
Đừng bỏ lỡ
Hacking đã chuyển các cuộc tấn công từ ransomware sang phần mềm độc hại trojan
POWERED BY ONECMS - A PRODUCT OF NEKO