Một nhóm mạng tiên tiến có tên "Người sói hiếm "đã thực hiện các cuộc tấn công ở Nga và Cộng đồng các quốc gia độc lập (CIS), chủ yếu nhắm vào các lĩnh vực công nghiệp và giáo dục.
Những kẻ tấn công sử dụng các công cụ hợp pháp của bên thứ ba và các tập lệnh PowerShell thay vì phần mềm độc hại tự chế, khiến việc phát hiện trở nên khó khăn hơn.
Các email lừa đảo gửi malware được ẩn bên trong các tệp lưu trữ bảo vệ bằng mật khẩu, mà triển khai phần mềm khai thác tiền điện tử và đánh cắp dữ liệu người dùng.
Hàng trăm người dùng Nga, bao gồm cả những người ở Belarus và Kazakhstan, đã bị ảnh hưởng. Những kẻ tấn công tập trung vào việc đánh cắp thông tin đăng nhập và cho phép truy cập từ xa.
Một nhóm riêng biệt, DarkGaboon, đã sử dụng LockBit 3.0 Ransomware trong các cuộc tấn công có động cơ tài chính nhắm vào các tổ chức của Nga kể từ năm 2023.
Một nhóm mạng được gọi là "Người sói hiếm hoi" đã có liên quan đến một loạt các cuộc tấn công mạng nhắm vào Nga và các nước SNG khác. Những kẻ tấn công đã sử dụng email lừa đảo để gửi các tệp độc hại, nhằm truy cập từ xa, đánh cắp thông tin đăng nhập và cài đặt phần mềm khai thác tiền điện tử có tên XMRig. Những cuộc tấn công này đã ảnh hưởng đến hàng trăm người dùng, bao gồm cả những người tại các công ty công nghiệp và trường kỹ thuật ở Nga, Belarus và Kazakhstan.
Quảng cáo - Theo các nhà nghiên cứu tại Kaspersky **, nhóm này tránh phần mềm độc hại truyền thống, thay vào đó sử dụng các tệp lệnh và tập lệnh PowerShell kết hợp với phần mềm hợp pháp để thực hiện các cuộc tấn công của họ. * "Một đặc điểm nổi bật của mối đe dọa này là những kẻ tấn công thích sử dụng phần mềm hợp pháp của bên thứ ba hơn là phát triển các tệp nhị phân độc hại của riêng họ", Kaspersky tuyên bố. Những kẻ tấn công đã gửi email lừa đảo với các kho lưu trữ được bảo vệ bằng mật khẩu chứa các tệp thực thi, thường được ngụy trang dưới dạng các tài liệu như lệnh thanh toán.
Khi vào bên trong hệ thống của nạn nhân, những kẻ tấn công đã cài đặt phần mềm như 4t Tray Minimizer, ẩn các ứng dụng đang chạy trong khay hệ thống. Họ cũng triển khai các công cụ để vô hiệu hóa phần mềm chống vi-rút và gửi dữ liệu bị đánh cắp đến các tài khoản email do kẻ tấn công kiểm soát bằng cách sử dụng chương trình hợp pháp Blat. Nhóm đã sử dụng phần mềm máy tính từ xa AnyDesk và các tập lệnh theo lịch trình để duy trì quyền truy cập trong những giờ cụ thể. "Tất cả các chức năng độc hại vẫn dựa vào trình cài đặt, lệnh và tập lệnh PowerShell", Kaspersky cho biết.
** Người sói hiếm ** — còn được gọi là Thư viện Ghouls và Rezet — trước đây đã nhắm mục tiêu vào các tổ chức ở Nga và Ukraine, với hoạt động đáng chú ý kể từ năm 2019. Chiến lược của họ liên quan đến việc tận dụng các tiện ích nổi tiếng để làm cho việc phát hiện và phân bổ trở nên khó khăn hơn.
Trong một diễn biến khác, Positive Technologies báo cáo rằng nhóm có động cơ tài chính DarkGaboon đã nhắm mục tiêu vào các tổ chức của Nga từ giữa năm 2023. Nhóm này sử dụng các email lừa đảo mang các tệp lưu trữ hoặc tệp bảo vệ màn hình Windows để kích hoạt mã độc tống tiền LockBit 3.0 và các trojan truy cập từ xa khác, chẳng hạn như XWorm và Revenge RAT. Theo ghi nhận của nhà nghiên cứu Victor Kazakov của Positive Technologies, "DarkGaboon không phải là khách hàng của dịch vụ LockBit RaaS và hoạt động độc lập..." Nhóm này sử dụng các phiên bản công khai của LockBit và đe dọa làm rò rỉ dữ liệu bị đánh cắp trực tuyến.
Các hoạt động này làm nổi bật các mối đe dọa đang diễn ra đối với các tổ chức ở Nga và các khu vực xung quanh, với những kẻ tấn công dựa vào các công cụ phần mềm hợp pháp và phổ biến để tránh bị phát hiện và làm phức tạp việc quy trách nhiệm.
Các bài viết trước:
Ant International, Deutsche Bank hợp tác khám phá việc ra mắt stablecoin
SG Forge của SocGen ra mắt stablecoin đô la Mỹ trên Ethereum, Solana
Canary Capital Thành lập Quỹ tín thác Delaware cho Quỹ ETF Injective (INJ) tiềm năng
Phụ nữ mất 50.000 USD trong các trò lừa đảo tiền điện tử sau khi nhấp vào quảng cáo Facebook của PM
SEC Đề xuất ‘Miễn trừ Đổi mới’ để Tăng cường Sản phẩm Crypto Trên chuỗi
Nội dung chỉ mang tính chất tham khảo, không phải là lời chào mời hay đề nghị. Không cung cấp tư vấn về đầu tư, thuế hoặc pháp lý. Xem Tuyên bố miễn trừ trách nhiệm để biết thêm thông tin về rủi ro.
APT Người sói hiếm có tấn công Nga với Khai thác Tiền điện tử, các cuộc tấn công đánh cắp dữ liệu
Một nhóm mạng tiên tiến có tên "Người sói hiếm "đã thực hiện các cuộc tấn công ở Nga và Cộng đồng các quốc gia độc lập (CIS), chủ yếu nhắm vào các lĩnh vực công nghiệp và giáo dục.
Khi vào bên trong hệ thống của nạn nhân, những kẻ tấn công đã cài đặt phần mềm như 4t Tray Minimizer, ẩn các ứng dụng đang chạy trong khay hệ thống. Họ cũng triển khai các công cụ để vô hiệu hóa phần mềm chống vi-rút và gửi dữ liệu bị đánh cắp đến các tài khoản email do kẻ tấn công kiểm soát bằng cách sử dụng chương trình hợp pháp Blat. Nhóm đã sử dụng phần mềm máy tính từ xa AnyDesk và các tập lệnh theo lịch trình để duy trì quyền truy cập trong những giờ cụ thể. "Tất cả các chức năng độc hại vẫn dựa vào trình cài đặt, lệnh và tập lệnh PowerShell", Kaspersky cho biết.
** Người sói hiếm ** — còn được gọi là Thư viện Ghouls và Rezet — trước đây đã nhắm mục tiêu vào các tổ chức ở Nga và Ukraine, với hoạt động đáng chú ý kể từ năm 2019. Chiến lược của họ liên quan đến việc tận dụng các tiện ích nổi tiếng để làm cho việc phát hiện và phân bổ trở nên khó khăn hơn.
Trong một diễn biến khác, Positive Technologies báo cáo rằng nhóm có động cơ tài chính DarkGaboon đã nhắm mục tiêu vào các tổ chức của Nga từ giữa năm 2023. Nhóm này sử dụng các email lừa đảo mang các tệp lưu trữ hoặc tệp bảo vệ màn hình Windows để kích hoạt mã độc tống tiền LockBit 3.0 và các trojan truy cập từ xa khác, chẳng hạn như XWorm và Revenge RAT. Theo ghi nhận của nhà nghiên cứu Victor Kazakov của Positive Technologies, "DarkGaboon không phải là khách hàng của dịch vụ LockBit RaaS và hoạt động độc lập..." Nhóm này sử dụng các phiên bản công khai của LockBit và đe dọa làm rò rỉ dữ liệu bị đánh cắp trực tuyến.
Các hoạt động này làm nổi bật các mối đe dọa đang diễn ra đối với các tổ chức ở Nga và các khu vực xung quanh, với những kẻ tấn công dựa vào các công cụ phần mềm hợp pháp và phổ biến để tránh bị phát hiện và làm phức tạp việc quy trách nhiệm.
Các bài viết trước: