Nhóm tin tặc Nga APT28 khai thác tính năng Windows trong chiến dịch lừa đảo toàn cầu
- Nhóm tin tặc Nga APT28 (còn gọi là Fancy Bear, Forest Blizzard, ITG05) đang lợi dụng tính năng hợp pháp của Microsoft Windows để triển khai malware và infostealers.
- Chiến dịch đã hoạt động từ tháng 11 năm ngoái đến tháng 2 năm nay, theo báo cáo của IBM X-Force.
- Tin tặc mạo danh các tổ chức chính phủ và phi chính phủ từ châu Âu, Nam Kavkaz, Trung Á, Bắc và Nam Mỹ, gửi email chứa tệp PDF độc hại.
- PDF chứa URL dẫn đến các trang web bị xâm nhập, lạm dụng trình xử lý giao thức "search-ms:" URI và giao thức ứng dụng "search:" của Windows.
- Nạn nhân thực hiện tìm kiếm trên máy chủ do tin tặc kiểm soát và tải xuống malware được ngụy trang dưới dạng tệp PDF.
- Malware được lưu trữ trên các máy chủ WebDAV, có thể được lưu trữ trên các bộ định tuyến Ubiquiti bị xâm nhập, vốn là một phần của botnet đã bị chính phủ Mỹ đánh sập.
- Nạn nhân đến từ các quốc gia như Argentina, Ukraine, Georgia, Belarus, Kazakhstan, Ba Lan, Armenia, Azerbaijan và Mỹ.
- Malware cài đặt bao gồm MASEPIE, OCEANMAP và STEELHOOK, được thiết kế để đánh cắp tệp, chạy lệnh tùy ý và đánh cắp dữ liệu trình duyệt.
📌 APT28 tiếp tục thích nghi với các phương thức lây nhiễm mới, tận dụng cơ sở hạ tầng thương mại sẵn có, đồng thời liên tục phát triển khả năng malware. Chiến dịch nhắm vào các tổ chức chính phủ và phi chính phủ trên toàn cầu từ tháng 11/2022 đến tháng 2/2023, lợi dụng tính năng hợp pháp của Windows để phát tán malware nguy hiểm như MASEPIE, OCEANMAP và STEELHOOK.
https://www.techradar.com/pro/security/russian-hacker-group-exploits-microsoft-windows-feature-in-worldwide-phishing-attack
Thảo luận
Follow Us
Tin phổ biến
