Hacker đứng sau Trickbot mở rộng kênh phát tán phần mềm độc hại

Thảo luận trong 'Tin tức An ninh mạng' bắt đầu bởi WhiteHat News #ID:3333, 16/10/21, 11:10 AM.

  1. WhiteHat News #ID:3333

    WhiteHat News #ID:3333 WhiteHat Support

    Tham gia: 04/06/14, 02:06 PM
    Bài viết: 365
    Đã được thích: 35
    Điểm thành tích:
    48

    Các hacker đứng sau TrickBot đang tăng cường các thủ thuật mới nhằm mở rộng, phát tán ransomware, chẳng hạn ransomware Coti.

    Nhóm hacker, có biệt danh ITG23 và Wizard Spider, được phát hiện có hợp tác với các băng nhóm tội phạm mạng như Hive0105, Hive0106 (hay còn gọi là TA551 hoặc Shathak) và Hive0107, để tăng cường chiến dịch phát tán phần mềm độc hại, theo một báo cáo của IBM X-Force.
    trickbot.jpg
    Nhà nghiên cứu Ole Villadsen và Charlotte Hammond cho biết: “Các nhóm tội phạm này đang tấn công lây nhiễm mã độc vào mạng của các công ty bằng cách chiếm đoạt các trao đổi email, sử dụng biểu mẫu khách hàng phản hồi giả mạo và các cuộc gọi lừa đảo có tên BazarCall”.
    Kể từ khi nổi lên từ năm 2016, TrickBot từ một trojan ngân hàng đã phát triển thành một giải pháp phần mềm tội phạm dựa trên modular Windows, nổi bật về khả năng phục hồi, duy trì và cập nhật bộ công cụ, cơ sở hạ tầng bất chấp các nỗ lực gỡ bỏ của cơ quan thực thi pháp luật. Bên cạnh TrickBot, nhóm Wizard Spider còn được cho là đã phát triển BazarLoader và một cửa hậu có tên là Anchor.
    Trong một chuỗi lây nhiễm được IBM quan sát vào cuối tháng 8 năm 2021, Hive0107 được cho là đã áp dụng một chiến thuật mới, cụ thể là gửi email tới các công ty mục tiêu thông báo rằng trang web của họ đã thực hiện các cuộc tấn công từ chối dịch vụ DDoS, thúc giục người nhận nhấp vào liên kết để có thêm bằng chứng. Sau khi truy cập, liên kết này sẽ tải xuống tệp lưu trữ ZIP chứa trình tải xuống JavaScript (JS) độc hại và có liên hệ với một URL từ xa để lây nhiễm phần mềm độc hại BazarLoader có nhiệm vụ thả Cobalt Strike và TrickBot.
    "ITG23 cũng đã cải tiến các ransomware thông qua việc tạo ra Conti ransomware-as-a-service (RaaS) và sử dụng các BazarLoader và Trickbot để tấn công ", các nhà nghiên cứu kết luận. "Sự phát triển mới nhất này thể hiện sức mạnh trong hệ sinh thái tội phạm mạng và khả năng tận dụng các mối liên quan này để mở rộng đối tượng tấn công".
    Nguồn: The Hacker News
     
    Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
    Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan