DDos
VIP Members
-
22/10/2013
-
524
-
2.191 bài viết
Tin tặc thử nghiệm nhiều phương pháp mới để phát tán Emotet
Nhóm tin tặc điều hành mạng botnet Emotet đang thử nghiệm các phương pháp tấn công mới trên quy mô nhỏ để tiến hành đánh giá hiệu quả trước khi đưa vào cuộc tấn công malspam quy mô lớn. Động thái này nhằm phản ứng với việc vô hiệu hóa macro Visual Basic cho ứng dụng (VBA) của Microsoft theo mặc định trên các sản phẩm của hãng.
Theo quan sát của các nhà nghiên cứu của ProofPoint, một hoạt động với với tên gọi "departure" đang được triển khai để phát tán phần mềm độc hại thông qua các email lừa đảo. Hoạt động này cho thấy tin tặc đang "tiến hành các cuộc tấn công có chọn lọc và quy mô hạn chế hơn để thử nghiệm, song song với các chiến dịch phát tán email quy mô lớn".
Việc phân phối Emotet thường gắn liền với nhóm tội phạm mạng TA542 (hay còn gọi là Mummy Spider hoặc Gold Crestwood). Cơ sở hạ tầng của mang botnet này đã bị phá hỏng bởi các cơ quan thực thi pháp luật; tuy nhiên, nó hoạt động mạnh mẽ trở lại sau 10 tháng gián đoạn.
Kể từ đó, các chiến dịch của Emotet đã nhắm mục tiêu đến hàng nghìn khách hàng với hàng chục nghìn tin nhắn ở các quốc gia khác nhau, với hơn một triệu tin nhắn được gửi đi trong mỗi chiến dịch.
Chiến dịch email với quy mô nhỏ mới được phân tích bởi công ty an ninh liên quan đến việc sử dụng các nội dung theo chủ đề tiền lương và URL OneDrive lưu trữ các tệp nén ZIP có chứa các tệp Microsoft Excel Add-in (XLL), khi được thực thi, mã độc phân phối Emotet bắt đầu hoạt động.
Một loạt các cuộc tấn công phi kỹ thuật mới đã diễn ra từ ngày 4 tháng 4 năm 2022 đến ngày 19 tháng 4 năm 2022, khi các chiến dịch phát tán Emotet quy mô lớn khác bị tạm dừng.
Phương thức lây lan sử dụng macro trong các tệp Microsoft Word và Exel đã không còn được sử dụng, điều này cho thấy, tin tặc đang tích cực thay đổi và phát triển cách thức tấn công mới để đối phó với kế hoạch chặn macro VBA của Microsoft theo mặc định bắt đầu từ tháng 4 năm 2022 .
Để tránh bị nghi ngờ, tin tặc đã ngăn tìm cách ngăn các nạn nhân mở tệp đính kèm trong email sử dụng cách thức lây lan macro. Sherrod DeGrippo, Phó chủ tịch nghiên cứu và phát hiện mối đe dọa tại Proofpoint, cho biết, "sau nhiều tháng hoạt động ổn định, Emotet đang chuyển đổi mọi thứ".
"Tin tặc đang thử nghiệm các kỹ thuật mới ở quy mô nhỏ trước khi phân phối chúng đến nạn nhân trên phạm vi rộng hơn hoặc phân phối thông qua các TTP mới cùng với các chiến dịch quy mô lớn. Các tổ chức nên biết các kỹ thuật mới và cần triển khai các biện pháp phòng thủ phù hợp".
Theo quan sát của các nhà nghiên cứu của ProofPoint, một hoạt động với với tên gọi "departure" đang được triển khai để phát tán phần mềm độc hại thông qua các email lừa đảo. Hoạt động này cho thấy tin tặc đang "tiến hành các cuộc tấn công có chọn lọc và quy mô hạn chế hơn để thử nghiệm, song song với các chiến dịch phát tán email quy mô lớn".
Việc phân phối Emotet thường gắn liền với nhóm tội phạm mạng TA542 (hay còn gọi là Mummy Spider hoặc Gold Crestwood). Cơ sở hạ tầng của mang botnet này đã bị phá hỏng bởi các cơ quan thực thi pháp luật; tuy nhiên, nó hoạt động mạnh mẽ trở lại sau 10 tháng gián đoạn.
Kể từ đó, các chiến dịch của Emotet đã nhắm mục tiêu đến hàng nghìn khách hàng với hàng chục nghìn tin nhắn ở các quốc gia khác nhau, với hơn một triệu tin nhắn được gửi đi trong mỗi chiến dịch.
Chiến dịch email với quy mô nhỏ mới được phân tích bởi công ty an ninh liên quan đến việc sử dụng các nội dung theo chủ đề tiền lương và URL OneDrive lưu trữ các tệp nén ZIP có chứa các tệp Microsoft Excel Add-in (XLL), khi được thực thi, mã độc phân phối Emotet bắt đầu hoạt động.
Một loạt các cuộc tấn công phi kỹ thuật mới đã diễn ra từ ngày 4 tháng 4 năm 2022 đến ngày 19 tháng 4 năm 2022, khi các chiến dịch phát tán Emotet quy mô lớn khác bị tạm dừng.
Phương thức lây lan sử dụng macro trong các tệp Microsoft Word và Exel đã không còn được sử dụng, điều này cho thấy, tin tặc đang tích cực thay đổi và phát triển cách thức tấn công mới để đối phó với kế hoạch chặn macro VBA của Microsoft theo mặc định bắt đầu từ tháng 4 năm 2022 .
Để tránh bị nghi ngờ, tin tặc đã ngăn tìm cách ngăn các nạn nhân mở tệp đính kèm trong email sử dụng cách thức lây lan macro. Sherrod DeGrippo, Phó chủ tịch nghiên cứu và phát hiện mối đe dọa tại Proofpoint, cho biết, "sau nhiều tháng hoạt động ổn định, Emotet đang chuyển đổi mọi thứ".
"Tin tặc đang thử nghiệm các kỹ thuật mới ở quy mô nhỏ trước khi phân phối chúng đến nạn nhân trên phạm vi rộng hơn hoặc phân phối thông qua các TTP mới cùng với các chiến dịch quy mô lớn. Các tổ chức nên biết các kỹ thuật mới và cần triển khai các biện pháp phòng thủ phù hợp".
Theo: thehackernews
Chỉnh sửa lần cuối bởi người điều hành: