Nhóm tấn công DEV0569 thay đổi chiến thuật, sử dụng Google Ads để phát tán mã độc

Sumeet Wadhwani Asst. Biên tập viên, Spiceworks Ziff Davis

Ngày 22 tháng 11 năm 2022

Microsoft gần đây đã cảnh báo rằng một tác nhân đe dọa đã biết đã cập nhật các cách độc hại bằng cách kết hợp Quảng cáo Google vào hoạt động của mình. Bên cạnh quảng cáo độc hại trên blog và diễn đàn, DEV-0569, một nhóm đe dọa mà Microsoft đã theo dõi từ tháng 8 năm 2022, hiện đang tận dụng Google Ads để phân phối tải trọng phần mềm độc hại, bao gồm cả một chủng ransomware mới

Microsoft đã quan sát thấy các bản nâng cấp cho chiến dịch của DEV-0569 vào tháng 10 năm 2022, một vài tháng sau khi xác định quảng cáo độc hại thông qua các liên kết lừa đảo hoặc các bản cập nhật nhúng được gửi trong thư rác . Các liên kết và bản cập nhật này đã chuyển hướng nạn nhân đến BATLOADER, một trình tải xuống phần mềm độc hại được ngụy trang dưới dạng trình cài đặt phần mềm.

Được lưu trữ trên miền của các tác nhân đe dọa, BATLOADER lừa người dùng tin rằng đây là trình tải xuống hợp pháp cho các ứng dụng như TeamViewer, Adobe Flash Player, Zoom và AnyDesk cũng như các kho lưu trữ phần mềm từ GitHub và OneDrive

Thay vì phần mềm hợp pháp, DEV-0569 đẩy các tải trọng hậu thỏa hiệp như kẻ đánh cắp thông tin hoặc công cụ quản lý từ xa để đạt được sự bền bỉ trong mạng mục tiêu và vô hiệu hóa các sản phẩm chống vi-rút bằng công cụ mã nguồn mở NSudo

Tuy nhiên, Microsoft cho biết DEV-0569 hiện đang phân phối phần mềm tống tiền Royal tương đối mới kể từ ít nhất là tháng 9 năm 2022. Ngoài ra, nhóm đe dọa hiện là Quảng cáo Google cho quảng cáo độc hại bí mật

Là một kỹ thuật trốn tránh phòng thủ bổ sung, DEV-0569, giống như những kẻ điều hành phần mềm độc hại IceID, hiện đang sử dụng các biểu mẫu liên hệ trên trang web của các tổ chức được nhắm mục tiêu để cung cấp các liên kết lừa đảo vì chúng có thể giúp vượt qua các biện pháp bảo vệ dựa trên email

Microsoft lưu ý: “Các cuộc tấn công DEV-0569 được quan sát cho thấy một mô hình đổi mới liên tục, với sự kết hợp thường xuyên của các kỹ thuật khám phá mới, né tránh phòng thủ và các tải trọng hậu xâm nhập khác nhau, bên cạnh việc tăng khả năng tạo điều kiện cho ransomware,” Microsoft lưu ý

“Những phương pháp này cho phép nhóm có khả năng đạt được nhiều mục tiêu hơn và cuối cùng đạt được mục tiêu của họ là triển khai các tải trọng sau thỏa hiệp khác nhau. Hoạt động DEV-0569 sử dụng các tệp nhị phân đã ký và phân phối tải trọng phần mềm độc hại được mã hóa. ”

Xem thêm. 250 U. Các trang web dựa trên S, bao gồm cả các hãng thông tấn, bị nhiễm mã độc TA569 làm ảnh hưởng đến chuỗi cung ứng quảng cáo

Chuỗi lây nhiễm DEV-0569 . Nguồn. Microsoft

Royal ransomware là một chủng mới với các hoạt động tư nhân. Nó không hoạt động theo mô hình ransomware-as-a-service, gần đây có cơ chế mã hóa riêng và yêu cầu bất kỳ nơi nào từ 250.000 đến hơn 2 triệu đô la tiền chuộc khi nạn nhân thành công

Để biết thêm chi tiết về phần mềm tống tiền Royal, hãy tham khảo phân tích kỹ thuật của công ty tình báo mối đe dọa mạng SecurityScorecard.

“DEV-0569 có thể sẽ tiếp tục dựa vào quảng cáo độc hại và lừa đảo để phân phối tải trọng phần mềm độc hại,” Microsoft tiếp tục. “Vì sơ đồ lừa đảo của DEV-0569 lạm dụng các dịch vụ hợp pháp, nên các tổ chức cũng có thể tận dụng các quy tắc luồng thư để nắm bắt các từ khóa đáng ngờ hoặc xem xét các ngoại lệ phổ biến, chẳng hạn như các trường hợp liên quan đến dải IP và danh sách cho phép cấp miền. ”

Hãy cho chúng tôi biết nếu bạn thích đọc tin tức này trên LinkedIn, Twitter hoặc Facebook. chúng tôi rất mong nhận được hồi âm từ bạn