VCCSEC Blog
🌙
News

Tin tức An toàn thông tin - Tuần 3 - Tháng 8 - 2023

date
Aug 14, 2023
slug
tin-tuc-attt-tuan-3-thang-8-nam-2023
author
status
Public
tags
News
Github
Docs
Git
Blog
Daily
Malware
Ransomware
summary
Tổng hợp các tin tức an toàn thông tin trong tuần 3 tháng 8 - 2023 (14/8-19/8)
type
Post
thumbnail
Password.webp
category
News
updatedAt
Aug 21, 2023 01:04 AM
1. Các cuộc tấn công MaginotDNS khai thác các kiểm tra yếu đối với DNS cache poisoning2. Monti ransomware nhắm mục tiêu vào các máy chủ VMware ESXi với Linux locker mới3. Hơn 120.000 máy tính bị xâm nhập bởi phần mềm đánh cắp thông tin được liên kết với các tài khoản trên diễn đàn tội phạm mạng4. QwixxRAT: Trojan truy cập từ xa mới xuất hiện qua Telegram và Discord5. Phần mềm độc hại Gigabud RAT Android Banking nhắm mục tiêu vào các tổ chức trên khắp các quốc gia6. Tội phạm mạng lạm dụng Cloudflare R2 để lưu trữ các trang lừa đảo7. Khám phá các kỹ thuật cập nhật trình duyệt giả mạo mới dẫn đến NetSupport RAT8. Discord.io xác nhận bị hacker đánh cắp dữ liệu của 760.000 thành viên9. 400.000 mạng botnet proxy được xây dựng với khả năng lây nhiễm phần mềm độc hại lén lút10. Chiến dịch LABRAT mới khai thác lỗ hổng GitLab cho các hoạt động tấn công đánh cắp tiền điện tử và proxy11. Chiến dịch lừa đảo đánh cắp tài khoản máy chủ email Zimbra trên toàn thế giới12. Khai thác Apple iOS 16 cho phép truy cập di động để duy trì kết nối trong chế độ Airplane giả mạo

1. Các cuộc tấn công MaginotDNS khai thác các kiểm tra yếu đối với DNS cache poisoning

Các nhà nghiên cứu từ Đại học UC Irvine và Thanh Hoa đã phát triển cuộc tấn công cache poisoning là “MaginotDNS”, nhắm mục tiêu vào trình phân giải Conditional DNS (CDNS) và có thể xâm phạm đến toàn bộ các miền cấp cao nhất của TLD.
Cuộc tấn công có thể thực hiện nhờ sự không nhất quán trong việc triển khai kiểm tra bảo mật trong các mode máy chủ hoặc phần mềm DNS khác nhau (trình phân giải đệ quy và bộ chuyển tiếp), khiến khoảng một phần ba tổng số máy chủ CDNS dễ bị tấn công.
Các sự cố được xác định đã được khắc phục ở cấp độ phần mềm.
DNS cache poisoning background
DNS (Domain Name System) là một hệ thống phân giải các mạng và tài nguyên internet, phân giải các tên miền thành các địa chỉ IP để có thể thực hiện kết nối mạng.
Quá trình phân giải DNS sử dụng UDP, TCP và DNSSEC để thực hiện truy vấn và nhận phản hồi. Nó có thể lặp đi lặp lại và đệ quy, bao gồm nhiều bước và trao đổi với máy chủ gốc, máy chủ TLD, máy chủ có thẩm quyền, bản ghi bộ nhớ đệm trên đường truyền.
DNS cache poisoning chèn các câu trả lời giả mạo vào bộ đệm trình phân giải DNS, khiến máy chủ hướng người dùng nhập miền đến địa chỉ IP không chính xác, có khả năng dẫn họ đến các trang web độc hại mà họ không hề hay biết.
Nhiều cuộc tấn công như Cuộc tấn công Kashpureff năm 1997, khai thác việc thiếu xác minh dữ liệu (quy tắc bailiwick) và Cuộc tấn công Kaminsky năm 2008 lợi dụng việc không có nguồn hệ thống ngẫu nhiên hóa cổng.
Kiểm tra Bailwick
Kiểm tra Bailwick
Các cuộc tấn công này đã được giảm thiểu bằng cách thêm các biện pháp phòng thủ vào quá trình triển khai của trình phân giải, khiến các cuộc tấn công ngoài đường dẫn trở nên khó khăn.
Cuộc tấn công “MaginotDNS” có thể vượt qua các biện pháp phòng thủ này bằng cách tấn công chế độ chuyển tiếp của CDNS từ trên đường dẫn hoặc ngoài đường dẫn.
Mốc thời gian tấn công DNS poisoning
Mốc thời gian tấn công DNS poisoning
Tấn công MaginotDNS
Trình phân giải CDNS hỗ trợ chế độ truy vấn đệ quy và chuyển tiếp, được các ISP và doanh nghiệp sử dụng để giảm chi phí và kiểm soát truy cập tốt hơn.
Chức năng của trình phân giải CDNS
Chức năng của trình phân giải CDNS
Kiểm tra bailiwick được thực thi đầy đủ trong chế độ đệ quy, tuy nhiên chế chế độ chuyển tiếp có nhiều lỗ hổng.
Vì cả hai chia sẻ cùng một bộ đệm global DNS, một cuộc tấn công vào chế độ chuyển tiếp có thể mở đường đến việc vi phạm chế độ đệ quy, về cơ bản là phá vỡ ranh giới bảo vệ bộ đệm DNS.
Các nhà nghiên cứu đã xác định sự không nhất quán trong quá trình kiểm tra bailiwick của phần mềm DNS, bao gồm BIND9 ( CVE-2021-25220 ), Knot Resolver ( CVE-2022-32983 ), Microsoft DNS và Technitium ( CVE-2021-43105 ).
Trong một số trường hợp nhất định, các cấu hình xử lý tất cả các bản ghi như thể chúng nằm trong miền gốc, một thiết lập rất dễ bị tấn công.
Các ví dụ được trình bày bao gồm cả các cuộc tấn công trên đường dẫn và ngoài đường dẫn, với cách tấn công thứ hai phức tạp hơn nhưng cũng có giá trị hơn nhiều đối với các tác nhân đe dọa.
Sơ đồ tấn công Off-path
Sơ đồ tấn công Off-path
Đối với các cuộc tấn công này, kẻ đe dọa cần dự đoán cổng nguồn và ID giao dịch được sử dụng bởi máy chủ DNS đệ quy của mục tiêu khi tạo yêu cầu, sau đó sử dụng máy chủ DNS độc hại để gửi phản hồi giả mạo với các tham số chính xác.
Cổng nguồn và đoán ID giao dịch có thể được thực hiện bằng cách brute force hoặc sử dụng SADDNS (side-channel attacked DNS).
Suy luận cổng thông qua SADDNS
Suy luận cổng thông qua SADDNS
Đối với BIND9, cả hai tham số đều có thể được truy xuất thành công sau 3.600 vòng truy vấn, trong khi đối với Microsoft DNS giảm xuống còn 720 vòng.
Để tăng cơ hội thành công, kẻ tấn công phải kiểm soát thời gian trả lời các phản hồi DNS độc hại để đảm bảo phản hồi giả mạo của chúng đến được máy chủ của nạn nhân trước máy chủ hợp pháp.
Scan CDNS dễ bị tấn công
Các nhà nghiên cứu đã scan internet và tìm thấy 1.200.000 trình phân giải DNS, trong đó 154.955 là máy chủ CDNS.
Sử dụng phần mềm fingerprints để xác định các phiên bản dễ bị tấn công, họ đã tìm thấy 54.949 máy chủ CDNS dễ bị tấn công, tất cả đều dễ bị tấn công trên đường dẫn và 88,3% bị ảnh hưởng bởi các cuộc tấn công ngoài đường dẫn.
Tất cả các nhà cung cấp phần mềm bị ảnh hưởng đều đã xác nhận và sửa các lỗ hổng. Tuy nhiên để các sự cố được giảm thiểu hoàn toàn, quản trị viên CDNS phải áp dụng các bản vá lỗi và tuân theo các nguyên tắc cấu hình chính xác do nhà cung cấp đã cung cấp.
Video minh họa cuộc tấn công MaginotDNS vào DNS của Microsoft
Bài báo trình bày chi tiết tại Black Hat 2023
Nguồn BleepingComputer

2. Monti ransomware nhắm mục tiêu vào các máy chủ VMware ESXi với Linux locker mới

Ransomware Monti quay trở lại sau hai tháng ngừng đăng dữ liệu các nạn nhân trên trang web rò rỉ dữ liệu, sử dụng Linux locker mới để nhắm mục tiêu vào các máy chủ VMware ESXi, các tổ chức chính phủ và pháp luật.
Các nhà nghiên cứu tại Trend Micro khi phân tích công cụ mã hóa mới từ Monti đã phát hiện ra rằng nó có những khác biệt đáng kể so với các công cụ trước đó dựa trên Linux.
Linux locker mới
Các phiên bản trước đó của Monti locker chủ yếu (99%) dựa vào mã hóa bị rò rỉ từ phần mềm tống tiền Conti nhưng sự tương đồng trong locker mới chỉ là 29%.
Tỷ lệ tương tự mã trên Bindiff
Tỷ lệ tương tự mã trên Bindiff
Các sửa đổi quan trọng mà Trend Micro đã quan sát được:
  • Loại bỏ các tham số ‘—size’, ‘—log’, ‘—vmlist’ và thêm tham số ‘-type=soft’ mới để chấm dứt các máy ảo ESXi (VM) theo cách tinh vi hơn, có nhiều khả năng để tránh bị phát hiện.
  • Bổ sung tham số ‘—whitelist’ để hướng dẫn locker bỏ qua các máy ảo (VM) ESXi cụ thể trên máy chủ.
  • Sửa đổi các tệp ‘/etc/motd’ và ‘index.html’ để hiển thị nội dung ghi chú đòi tiền chuộc khi người dùng đăng nhập (Thông báo trong ngày).
Nội dung /etc/motd' đã sửa đổi
Nội dung /etc/motd' đã sửa đổi
  • Thêm chữ ký byte “MONTI” cùng với 256 byte bổ sung liên quan đến khóa mã hóa vào các tệp được mã hóa.
  • Kiểm tra xem kích thước tệp có nhỏ hơn hoặc lớn hơn 261 byte hay không, mã hóa các tệp nhỏ hơn và kiểm tra sự hiện diện của chuỗi “MONTI” trên tệp lớn hơn. Nếu chuỗi bị thiếu, nó sẽ mã hóa các tệp.
  • Biến thể mới sử dụng phương pháp mã hóa AES-256-CTR từ thư viện OpenSSL, không giống như biến thể trước đó sử dụng Salsa20.
  • Các tệp có kích thước từ 1,048 MB đến 4,19 MB sẽ chỉ được mã hóa 100.000 byte đầu tiên, trong khi các tệp nhỏ hơn 1,048 MB được mã hóa hoàn toàn.
  • Các tệp vượt quá kích thước 4,19 MB sẽ có một phần nội dung được mã hóa, được tính bằng thao tác Shift Right.
Mã hóa một phần tệp (trái), nội dung gốc (phải)
Mã hóa một phần tệp (trái), nội dung gốc (phải)
  • Biến thể mới thêm phần mở rộng .MONTI vào các tệp được mã hóa và tạo ghi chú đòi tiền chuộc ('readme.txt') trên mọi thư mục mà nó xử lý.
Các tệp được mã hóa và ghi chú đòi tiền chuộc
Các tệp được mã hóa và ghi chú đòi tiền chuộc
Một trong những điểm nổi bật trong mã là khả năng tránh bị phát hiện được cải thiện, điều này khiến việc xác định và giảm thiểu các cuộc tấn công của phần mềm tống tiền Monti trở nên khó khăn hơn.
“Có khả năng các tác nhân đe dọa đằng sau Monti vẫn sử dụng các phần của mã nguồn Conti làm cơ sở cho biến thể mới, bằng chứng là một số chức năng tương tự, nhưng đã thực hiện các thay đổi quan trọng đối với mã – đặc biệt là thuật toán mã hóa”
Nghiên cứu của Trend Micro
Nguồn 🔗 BleepingComputer

3. Hơn 120.000 máy tính bị xâm nhập bởi phần mềm đánh cắp thông tin được liên kết với các tài khoản trên diễn đàn tội phạm mạng

Các nhà nghiên cứu đã phát hiện ra 120.000 máy tính bị nhiễm phần mềm độc hại đánh cắp thông tin xác thực cho các diễn đàn tội phạm mạng, nhiều máy tính thuộc về các tin tặc.
notion image
Phân tích dữ liệu, các nhà nghiên cứu phát hiện ra rằng mật khẩu được sử dụng để đăng nhập vào các diễn đàn hack thường mạnh hơn mật khẩu dành cho các trang web của chính phủ.
Thông tin đăng nhập của hacker bị xâm phạm
Sau khi xem qua 100 diễn đàn tội phạm mạng, các nhà nghiên cứu đã phát hiện ra rằng một số tin tặc đã vô tình bị lây nhiễm và bị đánh cắp thông tin đăng nhập.
100.000 máy tính bị xâm nhập thuộc về tin tặc và số lượng thông tin đăng nhập cho các diễn đàn tội phạm mạng vượt quá 140.000.
Các nhà nghiên cứu đã thu thập thông tin từ các rò rỉ có sẵn công khai cũng như nhật ký kẻ đánh cắp thông tin có nguồn gốc trực tiếp từ các tác nhân đe dọa.
Phần mềm đánh cắp thông tin là một loại phần mềm độc hại tìm kiếm các vị trí cụ thể trên máy tính để lấy thông tin đăng nhập. Mục tiêu phổ biến là các trình duyệt web, vì các tính năng lưu trữ mật khẩu và tự động điền của chúng.
Tin tặc trên khắp thế giới lây nhiễm máy tính một cách có cơ hội bằng cách quảng bá kết quả cho phần mềm giả mạo hoặc thông qua các hướng dẫn trên YouTube hướng dẫn nạn nhân tải xuống phần mềm bị nhiễm độc.
Trong số những người bị dụ dỗ có các tin tặc khác, có thể là những người kém kỹ năng hơn, vì vậy họ đã bị nhiễm giống như bất kỳ người dùng cả tin nào khác đang cố gắng đi đường tắt.
Có thể xác định chủ sở hữu của những máy tính bị xâm nhập đó là tin tặc, hoặc ít nhất là những người đam mê tin tặc, bằng cách xem dữ liệu từ nhật ký của kẻ đánh cắp thông tin, điều này cũng tiết lộ danh tính thực của cá nhân:
  • Thông tin đăng nhập bổ sung được tìm thấy trên máy tính (email bổ sung, tên người dùng)
  • Tự động điền dữ liệu có chứa thông tin cá nhân (tên, địa chỉ, số điện thoại)
  • Thông tin hệ thống (tên máy tính, địa chỉ IP)
Phần mềm đánh cắp thông tin cũng đã thúc đẩy hệ sinh thái phần mềm độc hại dưới dạng dịch vụ (MaaS), định vị chúng là một trong những vectơ tấn công ban đầu sinh lợi nhất được các tác nhân đe dọa sử dụng để xâm nhập vào các tổ chức và thực hiện nhiều cuộc tấn công khác nhau, từ gián điệp đến ransomware.
Một cuộc kiểm tra thông tin bị đánh cắp cho thấy diễn đàn tội phạm mạng có số lượng người dùng bị nhiễm cao nhất là Nulled.to với hơn 57.000 người dùng, tiếp theo là Cracked.io (19.062) và Hackforums.net (13.366).
Tài khoản diễn đàn tội phạm mạng bị lộ bởi phần mềm đánh cắp thông tin
Tài khoản diễn đàn tội phạm mạng bị lộ bởi phần mềm đánh cắp thông tin
Diễn đàn có mật khẩu người dùng mạnh nhất là 'Breached.to', trong khi diễn đàn có mật khẩu người dùng yếu nhất là trang web của Nga 'Rf-cheat.ru' với hơn 41% thông tin đăng nhập có ít nhất 10 ký tự và chứa bốn loại ký tự.
Người dùng BreachForums đã sử dụng mật khẩu mạnh hơn
Người dùng BreachForums đã sử dụng mật khẩu mạnh hơn
Tuy nhiên, tin tặc cũng sử dụng mật khẩu rất yếu như một chuỗi số liên tiếp. Điều này có thể được giải thích là do họ không quan tâm đến việc tham gia vào cộng đồng.
Họ có thể sử dụng tài khoản chỉ để cập nhật các cuộc thảo luận, kiểm tra dữ liệu nào được rao bán hoặc chỉ để có quyền truy cập vào diễn đàn bất cứ khi nào có điều gì đó quan trọng hơn xảy ra.
Các nhà nghiên cứu cũng phát hiện ra rằng thông tin đăng nhập cho các diễn đàn tội phạm mạng thường mạnh hơn thông tin đăng nhập cho các trang web của chính phủ, mặc dù sự khác biệt không lớn.
notion image
Phần lớn các trường hợp lây nhiễm là do RedLine, Raccoon và AZORult. Các quốc gia hàng đầu mà tin tặc đã bị lây nhiễm và có ít nhất một chứng chỉ cho diễn đàn tội phạm mạng bao gồm Tunisia, Malaysia, Bỉ, Hà Lan và Israel.
Điểm chính từ phát hiện này là mặc dù lây nhiễm đánh cắp thông tin thường gây hại cho các công ty do tin tặc lợi dụng thông tin đăng nhập để xâm nhập vào tài khoản của nhân viên và người dùng, nhưng chúng cũng có thể hữu ích cho việc quy kết tội phạm mạng của cơ quan thực thi pháp luật.
Sự phát triển này diễn ra khi Flare phân tích hơn 19,6 triệu nhật ký kẻ đánh cắp cho thấy 376.107 trong số đó cung cấp quyền truy cập vào các ứng dụng SaaS của công ty và các nhật ký chứa thông tin đăng nhập dịch vụ tài chính được liệt kê ở mức 112,27 đô la, so với 14,31 đô la cho phần còn lại.
Nó cũng xảy ra sau khi Discord.io tạm thời ngừng hoạt động sau khi nó bị vi phạm dữ liệu, trong đó các chi tiết liên quan đến không dưới 760.000 người dùng đã bị rò rỉ trên diễn đàn hack Breach mới.
Hiện tại, một số lượng lớn các thỏa hiệp quyền truy cập ban đầu bắt đầu bằng một trình đánh cắp thông tin, công cụ này thu thập tất cả dữ liệu mà một tác nhân đe dọa cần để mạo danh người dùng hợp pháp, thường được gọi là fingerprint hệ thống.
Blog của Hudson Rock mô tả cách một tác nhân đe dọa nổi tiếng có tên là La_Citrix, được biết đến với việc bán quyền truy cập Citrix/VPN/RDP cho các công ty, đã vô tình lây nhiễm máy tính của họ.
Phát hiện của Hudson Rock đã phân tích dữ liệu được thu thập từ các máy tính bị xâm phạm từ năm 2018 đến 2023.
Nguồn 🔗 TheHackerNews , BleepingComputer

4. QwixxRAT: Trojan truy cập từ xa mới xuất hiện qua Telegram và Discord

notion image
Một trojan truy cập từ xa (RAT) mới có tên là QwixxRAT đang được kẻ đe dọa rao bán thông qua các nền tảng Telegram và Discord.
Sau khi được cài đặt trên các máy nền tảng Windows của nạn nhân, RAT sẽ lén lút thu thập dữ liệu nhạy cảm, sau đó gửi đến bot Telegram của kẻ tấn công, cung cấp cho chúng quyền truy cập trái phép vào thông tin nhạy cảm của nạn nhân.
Phần mềm độc hại được thiết kế để thu thập lịch sử trình duyệt web, bookmarks, cookie, thông tin credit card, keystrokes, screenshots, tệp khớp với một số extensions nhất định và dữ liệu từ các ứng dụng như Steam và Telegram.
Công cụ này được cung cấp với giá 150 rúp để truy cập hàng tuần và 500 rúp cho giấy phép trọn đời. Nó cũng có một phiên bản miễn phí hạn chế.
Hệ nhị phân dựa trên AC#, QwixxRAT đi kèm với nhiều tính năng chống phân tích khác nhau để giữ bí mật và tránh bị phát hiện. Điều này bao gồm chức năng sleep để đưa ra độ trễ trong quá trình thực thi cũng như chạy kiểm tra để xác định xem nó đang hoạt động trong sandbox hay môi trường ảo.
Các chức năng khác cho phép nó theo dõi danh sách quy trình cụ thể (ví dụ: "taskmgr," "processhacker," "netstat," "netmon," "tcpview," và "wireshark") và nếu bị phát hiện, nó sẽ tạm dừng hoạt động của chính nó cho đến khi quá trình được kết thúc.
notion image
Được tích hợp trong QwixxRAT là một clipper lén lút truy cập thông tin nhạy cảm được sao chép vào khay nhớ tạm của thiết bị với mục đích thực hiện chuyển tiền bất hợp pháp từ ví tiền điện tử.
Command-and-control (C2) được hỗ trợ bằng bot Telegram, qua đó các lệnh được gửi để thực hiện thu thập dữ liệu bổ sung như ghi âm thanh và webcam và thậm chí tắt hoặc khởi động lại máy chủ bị nhiễm từ xa.
Tiết lộ được đưa ra vài tuần sau khi Cyberint tiết lộ chi tiết về hai chủng RAT khác có tên là RevolutionRAT và Venom Control RAT cũng được quảng cáo trên các kênh Telegram khác nhau với các tính năng kết nối C2 và lọc dữ liệu.
Nó cũng theo sau việc phát hiện ra một chiến dịch đang diễn ra sử dụng các trang web bị xâm nhập làm bệ phóng để trình bày bản cập nhật trình duyệt web Chrome giả nhằm lôi kéo nạn nhân cài đặt công cụ phần mềm quản trị từ xa có tên NetSupport Manager RAT bằng mã JavaScript độc hại.
Việc sử dụng chiêu dụ cập nhật trình duyệt lừa đảo đồng nghĩa với SocGholish (hay còn gọi là FakeUpdates), nhưng bằng chứng xác thực về mối liên hệ giữa hai nhóm hoạt động này vẫn còn khó nắm bắt.
Trellix cho biết : “Việc lạm dụng các RAT có sẵn vẫn tiếp tục vì đây là những công cụ mạnh mẽ có khả năng đáp ứng nhu cầu của kẻ thù để thực hiện các cuộc tấn công và đạt được mục tiêu của chúng” "Mặc dù các RAT này có thể không được cập nhật liên tục, nhưng các công cụ và kỹ thuật để phân phối các tải trọng này cho các nạn nhân tiềm năng sẽ tiếp tục phát triển."
Báo cáo của Uptycs
Nguồn 🔗 TheHackerNews

5. Phần mềm độc hại Gigabud RAT Android Banking nhắm mục tiêu vào các tổ chức trên khắp các quốc gia

notion image
Chủ tài khoản của nhiều tổ chức tài chính ở Thái Lan, Indonesia, Việt Nam, Philippines và Peru đang là mục tiêu của phần mềm độc hại ngân hàng Android có tên Gigabud RAT .
Gigabud RAT không thực hiện bất kỳ hành động độc hại nào cho đến khi người dùng được kẻ lừa đảo ủy quyền vào ứng dụng độc hại, điều này khiến nó khó bị phát hiện hơn
Thay vì sử dụng các cuộc tấn công overlay HTML, Gigabud RAT thu thập thông tin nhạy cảm chủ yếu thông qua ghi lại màn hình.
Công ty có trụ sở tại Singapore cho biết họ cũng đã xác định được một biến thể thứ hai của phần mềm độc hại trừ khả năng của RAT. Được đặt tên là Gigabud.Loan, nó xuất hiện dưới vỏ bọc của một ứng dụng cho vay có khả năng đánh cắp dữ liệu người dùng nhập vào.
Các nhà nghiên cứu cho biết: “Các mục tiêu là các cá nhân bị dụ điền vào mẫu đơn đăng ký thẻ ngân hàng để được vay lãi suất thấp. "Các nạn nhân được thuyết phục cung cấp thông tin cá nhân trong quá trình nộp đơn."
Cả hai phiên bản phần mềm độc hại đều được phát tán qua các trang web lừa đảo, các liên kết được gửi đến nạn nhân qua SMS hoặc tin nhắn tức thì trên mạng truyền thông xã hội. Gigabud.Loan cũng được phân phối trực tiếp dưới dạng tệp APK được gửi qua tin nhắn trên WhatsApp.
Các mục tiêu được tiếp cận trên phương tiện truyền thông xã hội thường bị ép buộc truy cập các trang web với lý do hoàn thành kiểm toán thuế và yêu cầu hoàn lại tiền.
Mặc dù các thiết bị Android có cài đặt "Install from Unknown Sources" bị tắt theo mặc định như một biện pháp bảo mật để ngăn cài đặt ứng dụng từ các nguồn không đáng tin cậy, nhưng hệ điều hành cho phép các ứng dụng khác được cài đặt trên thiết bị, chẳng hạn như trình duyệt web, ứng dụng email, tệp người quản lý và ứng dụng nhắn tin để yêu cầu quyền "REQUEST_INSTALL_PACKAGES".
Nếu người dùng cấp quyền cho các ứng dụng như vậy, nó sẽ cho phép những kẻ đe dọa cài đặt các tệp APK giả mạo trong khi bỏ qua tùy chọn "Install from Unknown Sources".
Gigabud hoạt động rất giống các trojan ngân hàng Android khác bằng cách yêu cầu quyền của dịch vụ trợ năng để thực hiện chụp màn hình và ghi lại các lần nhấn phím. Nó cũng được trang bị để thay thế số thẻ ngân hàng trong khay nhớ tạm và thực hiện chuyển tiền tự động thông qua truy cập từ xa.
Mặt khác, Gigabud.Loan hoạt động như một công cụ thu thập thông tin cá nhân như họ tên, số chứng minh nhân dân, ảnh chứng minh nhân dân, chữ ký điện tử, trình độ học vấn, thông tin thu nhập, thông tin thẻ ngân hàng và số điện thoại dưới cách gửi một yêu cầu vay đến ngân hàng.
notion image
Phát hiện này theo sau việc phát hiện ra 43 ứng dụng giả mạo trên Cửa hàng Google Play tải quảng cáo khi màn hình của thiết bị bị tắt. Các ứng dụng, với số lượt tải xuống tích lũy là 2,5 triệu, đã bị các nhà phát triển gỡ xuống hoặc cập nhật để loại bỏ thành phần gian lận quảng cáo.
McAfee cho biết phần mềm quảng cáo, sau khi được cài đặt, sẽ tìm kiếm quyền của người dùng để loại trừ các ứng dụng khi tiết kiệm pin và cho phép nó lấn át các ứng dụng khác, mở ra cánh cửa cho các cuộc tấn công ác ý hơn nữa, chẳng hạn như tải quảng cáo trong nền và hiển thị các trang lừa đảo.
Thư viện gian lận quảng cáo được các ứng dụng sử dụng cũng sử dụng các chiến thuật trì hoãn để tránh bị phát hiện và có thể được người điều hành sửa đổi từ xa bằng dịch vụ nhắn tin Firebase , khiến nó tăng thêm một lớp phức tạp.
Tiết lộ được đưa ra khi Cục Điều tra Liên bang Hoa Kỳ (FBI) đang cảnh báo về sự gia tăng của những kẻ lừa đảo giả vờ là các công ty phục hồi và truy tìm có thể giúp nạn nhân của các vụ lừa đảo đầu tư tiền điện tử lấy lại tài sản bị mất.
FBI cho biết : “Những kẻ lừa đảo thu hồi cơ chế tính phí trả trước và ngừng liên lạc với nạn nhân sau khi nhận được khoản tiền gửi ban đầu hoặc đưa ra báo cáo truy tìm không đầy đủ hoặc không chính xác và yêu cầu thêm phí để lấy lại tiền” .
Ngoài ra, cơ quan này đã cảnh báo rằng tội phạm mạng đang nhúng mã nguy hiểm vào các ứng dụng thử nghiệm beta trên thiết bị di động giả dạng ứng dụng đầu tư tiền điện tử hợp pháp để lừa gạt các nạn nhân tiềm năng bằng cách tạo điều kiện cho hành vi trộm cắp thông tin nhận dạng cá nhân (PII) và dữ liệu tài khoản tài chính.
"Các ứng dụng có thể trông hợp pháp bằng cách sử dụng tên, hình ảnh hoặc mô tả tương tự như các ứng dụng phổ biến". "Tội phạm mạng thường sử dụng lừa đảo trực tuyến hoặc lừa đảo lãng mạn để thiết lập liên lạc với nạn nhân, sau đó hướng dẫn nạn nhân tải xuống ứng dụng thử nghiệm beta trên thiết bị di động nằm trong môi trường ứng dụng thử nghiệm beta trên thiết bị di động, hứa hẹn các ưu đãi như xuất chi tài chính lớn."
Trong các kế hoạch này, những kẻ đe dọa liên hệ với các nạn nhân tiềm năng trên các ứng dụng mạng xã hội và hẹn hò, đồng thời xây dựng lòng tin với mục đích cuối cùng là lôi kéo họ tải xuống các phiên bản trước khi phát hành của ứng dụng.
FBI cho biết: “Các nạn nhân nhập chi tiết tài khoản hợp pháp vào ứng dụng, gửi số tiền mà họ tin rằng sẽ được đầu tư vào tiền điện tử, nhưng thay vào đó, tiền của nạn nhân lại được gửi cho bọn tội phạm mạng”.
Điều đáng chú ý là việc lạm dụng khung thử nghiệm beta TestFlight của Apple để thực hiện các vụ lừa đảo đã được công ty an ninh mạng Sophos nhấn mạnh vào năm ngoái.
Các làn sóng gần đây của chiến dịch, còn được gọi là CryptoRom , đã vũ khí hóa các kế hoạch phân phối ứng dụng đặc biệt dành cho doanh nghiệp và nhà phát triển của Apple để cung cấp các ứng dụng tiền điện tử giả nhằm vượt qua các hạn chế ngăn người dùng tải xuống ứng dụng iOS bên ngoài App Store.
Trong các trường hợp khác, một ứng dụng có vẻ vô hại bị trojan hóa sau khi được phê duyệt và xuất bản lên các cửa hàng ứng dụng của Apple và Google bằng cách thay đổi mã từ xa để trỏ đến máy chủ do kẻ tấn công kiểm soát nhằm thực hiện hành vi nguy hiểm.
Phân tích của Group-IB
Nguồn 🔗 TheHackerNews

6. Tội phạm mạng lạm dụng Cloudflare R2 để lưu trữ các trang lừa đảo

notion image
Việc các tác nhân đe dọa sử dụng Cloudflare R2 để lưu trữ các trang lừa đảo đã tăng gấp 61 lần trong sáu tháng qua.
Phần lớn các chiến dịch lừa đảo nhắm mục tiêu thông tin đăng nhập của Microsoft, mặc dù có một số trang nhắm mục tiêu Adobe, Dropbox và các ứng dụng đám mây khác.
Cloudflare R2 , tương tự như Amazon Web Service S3, Google Cloud Storage và Azure Blob Storage, là dịch vụ lưu trữ dữ liệu cho đám mây.
Sự phát triển diễn ra khi tổng số ứng dụng đám mây tải xuống phần mềm độc hại đã tăng lên 167 , với Microsoft OneDrive, Squarespace, GitHub, SharePoint và Weebly chiếm năm vị trí hàng đầu.
Những kẻ tấn công lợi dụng tên miền phụ miễn phí do Cloudflare cung cấp, giúp cho các URL tương đối dễ xác định. Người dùng nên tìm các URL có mẫu sau:
https://pub-<32_alphanumeric_string>.r2.dev/webpage.htm
Các chiến dịch lừa đảo được Netskope xác định không chỉ lạm dụng Cloudflare R2 để phân phối các trang lừa đảo tĩnh mà còn tận dụng dịch vụ Turnstile. Cloudflare Turnstile là một dịch vụ miễn phí, được thiết kế để bảo vệ các trang web khỏi bot và lưu lượng truy cập độc hại khác, đồng thời là giải pháp thay thế CAPTCHA thông minh có thể được nhúng vào bất kỳ trang web nào mà không gửi lưu lượng truy cập qua Cloudflare. Nó có tùy chọn ẩn CAPTCHA đối với khách truy cập nhưng cũng có thể hiển thị trang xác minh truyền thống.
Khi làm như vậy, nó sẽ ngăn các trình quét trực tuyến như urlscan.io tiếp cận trang web lừa đảo thực tế, vì kết quả kiểm tra CAPTCHA không thành công.
notion image
Là một lớp bổ sung để tránh bị phát hiện, các trang web độc hại được thiết kế để chỉ tải nội dung khi các điều kiện nhất định được đáp ứng.
Trang web độc hại yêu cầu một trang giới thiệu bao gồm dấu thời gian sau biểu tượng hàm băm trong URL để hiển thị trang lừa đảo thực sự. Mặt khác, trang web giới thiệu yêu cầu một trang web lừa đảo được chuyển cho nó dưới dạng tham số.
Trong trường hợp không có tham số URL nào được chuyển đến trang giới thiệu, khách truy cập sẽ được chuyển hướng đến www.google[.]com.
Sự phát triển diễn ra một tháng sau khi công ty an ninh mạng tiết lộ chi tiết về một chiến dịch lừa đảo được phát hiện lưu trữ các trang đăng nhập giả mạo của họ trong AWS Amplify để đánh cắp thông tin đăng nhập ngân hàng và Microsoft 365 của người dùng, cùng với chi tiết thanh toán thẻ thông qua API Bot của Telegram.
Nghiên cứu của Netskope
Nguồn 🔗 TheHackerNews

7. Khám phá các kỹ thuật cập nhật trình duyệt giả mạo mới dẫn đến NetSupport RAT

Trellix đã phát hiện một chiến dịch đang diễn ra bằng cách sử dụng các bản cập nhật trình duyệt Chrome giả mạo để dụ nạn nhân cài đặt một công cụ phần mềm quản trị từ xa có tên là NetSupport Manager. Những kẻ xấu lạm dụng phần mềm này để đánh cắp thông tin và chiếm quyền kiểm soát máy tính của nạn nhân. Chiến dịch được phát hiện có điểm tương đồng với chiến dịch SocGholish được báo cáo trước đó, được điều hành bởi một kẻ bị nghi ngờ là mối đe dọa người Nga. Tuy nhiên, liên kết đến SocGholish không phải là kết luận và có sự khác biệt trong các công cụ được sử dụng.
Chromium với 63,55% thị phần hiện là trình duyệt được nhắm mục tiêu nhiều nhất trên thực tế cho các cuộc tấn công NetSupport RAT, do việc sử dụng toàn cầu. Hầu hết các doanh nghiệp lớn đang sử dụng trình duyệt Chromium làm công cụ chính cho các ứng dụng web. Lo ngại về các giải pháp điểm cuối hiệu quả thấp không thể phát hiện các loại tấn công. Các tổ chức cần có các giải pháp bảo mật sáng tạo và thông tin tình báo về mối đe dọa toàn cầu toàn diện để có được khả năng quản trị và các công cụ cần thiết nhằm giảm thiểu rủi ro mạng.
Tổng quan về chiến dịch
Vào cuối tháng 6 năm 2023, Trellix nhận thấy một chiến dịch cập nhật trình duyệt giả mạo thông qua việc phát hiện trình tải xuống JavaScript giai đoạn đầu. Chiến dịch sử dụng các trang web bị xâm nhập để hiển thị bản cập nhật trình duyệt Chrome giả mạo nhằm lôi kéo nạn nhân, khiến họ cài đặt công cụ phần mềm quản trị từ xa (RAT) có tên là NetSupport Manager.
Các trang web bị xâm nhập được đưa vào một thẻ tập lệnh HTML đơn giản để tải nội dung JavaScript từ máy chủ chỉ huy và kiểm soát của tác nhân đe dọa. Việc tiêm tập lệnh độc hại có thể được tự động hóa và tuân theo một cấu trúc thư mục nhất định.
Code được chèn vào trang web Chamber of Commerce bị xâm phạm.
Code được chèn vào trang web Chamber of Commerce bị xâm phạm.
Các trang web bị xâm phạm có thể được xác định bằng cách tìm kiếm đường dẫn '/cdn-js/wds.min.php'. Sự thành công của chiến dịch này phụ thuộc vào phạm vi tiếp cận của trang web bị xâm nhập. Trellix đã tìm thấy một sự xâm nhập gần đây của trang web Chamber of Commerce có lưu lượng truy cập từ Chính phủ Liên bang, tổ chức tài chính và dịch vụ tư vấn. Trang web đã được xóa khỏi tập lệnh được chèn và đã bị xâm phạm trong ít nhất một ngày.
notion image
Tập lệnh được đưa vào trong trang web bị xâm nhập dẫn đến một trang cập nhật trình duyệt giả mạo. Chủ đề cập nhật trình duyệt giả mạo này dẫn đến NetSupport RAT không phải là mới và đã được báo cáo từ nhiều năm trước. Chiêu dụ này cũng được sử dụng bởi SocGholish , nơi nó cũng dẫn đến việc cài đặt NetSupport RAT. Tuy nhiên, không có bằng chứng thuyết phục nào được tìm thấy để kết nối chiến dịch hiện tại này với SocGholish.
Sự khác biệt đáng chú ý giữa chiến dịch SocGholish được báo cáo và chiến dịch hiện tại là ở các công cụ được sử dụng. SocGholish đã sử dụng PowerShell có chức năng WMI để tải xuống và cài đặt RAT. Ngược lại, chiến dịch hiện tại này sử dụng các file batch (.BAT), tập lệnh VB và công cụ Curl thay vì tập lệnh PowerShell để tải xuống các thành phần và tải trọng RAT.
Chi tiết kỹ thuật
notion image
Nhấp vào liên kết Cập nhật Chrome được tìm thấy trong trang cập nhật trình duyệt giả mạo sẽ dẫn đến việc tải xuống kho lưu trữ ZIP, “UpdateInstall.zip”, có tệp JavaScript độc hại được nhúng. Tập lệnh độc hại có tên “Browser_portable.js”, là trình tải xuống của giai đoạn tiếp theo.
Mã “Browser_portable.js” có liên quan để tải giai đoạn thứ hai.
Mã “Browser_portable.js” có liên quan để tải giai đoạn thứ hai.
Tệp “Browser_portable.js” gửi yêu cầu tới C2 để truy xuất và thực thi một mã JavaScript độc hại khác. JavaScript ở giai đoạn thứ hai, “Chrome_update.js”, sử dụng một số kỹ thuật che giấu và đệm nhiều bằng các chuỗi nhận xét rác. 
JavaScript độc hại giai đoạn hai được đơn giản hóa, “Chrome_update.js”.
JavaScript độc hại giai đoạn hai được đơn giản hóa, “Chrome_update.js”.
Tập lệnh giai đoạn thứ hai có tên “Chrome_update.js”, là một trình tải xuống. Nó tải xuống một file batch, “1.bat”, trong thư mục 'C://ProgramData' cục bộ và thực thi nó.
notion image
File batch “1.bat” bỏ VBScript và file batch. Các tệp VBScript vẫn đang được phát triển hoặc hoạt động ẩn vì người ta lưu ý rằng “Wscrit.Arguments” bị viết sai chính tả và các tập lệnh không được thực thi. Ngược lại, các fiel batch được thực thi và sử dụng "curl" để tải xuống các thành phần khác. Các thành phần này là trình lưu trữ tệp 7-zip di động, gói phần mềm NetSupport Manager RAT và cuối cùng là file batch, “2.bat”, để cài đặt và thực thi RAT.
Tải xuống “2.bat”
Tải xuống “2.bat”
NetSupport Manager RAT được trích xuất bằng tiện ích 7-zip đã tải xuống và được thực thi thông qua các tác vụ theo lịch trình trong máy tính nạn nhân bằng tệp “2.bat” đã tải xuống. Fiel batch này cũng chịu trách nhiệm tạo cơ chế bền vững của RAT để được thực thi khi khởi động hệ thống.
Nhìn vào tệp cấu hình của RAT, “client32.ini”, địa chỉ cổng được đặt thành 5.252.178.48. Tại thời điểm này, khi RAT được tải xuống và cài đặt trong máy tính nạn nhân, các tác nhân đe dọa đã giành được quyền kiểm soát gần như hoàn toàn đối với máy nạn nhân. Giờ đây, họ có thể cài đặt thêm phần mềm độc hại, lọc dữ liệu, quét mạng và mở rộng tấn công.
Trong chiến dịch này, sự kết hợp của các ngôn ngữ kịch bản hệ điều hành Windows gốc như VBScript và Batch script đã được sử dụng cùng nhau, cùng với công cụ truyền dữ liệu phổ biến, curl, đã có sẵn trong Windows từ năm 2017.
Phát hiện
Product
Signature
Trellix Email Security Trellix Network Security Trellix VX Trellix Cloud MVX Trellix File Protect Trellix Detection As A Service
Malicious.LIVE.DTI.URL Phish.LIVE.DTI.URL Malicious.URL Trojan.Generic FEC_Downloader_JS_Generic_33 FE_Trojan_BAT_Generic_1 Suspicious Network Activity Suspicious Process Informational Creating Schedule Tasks Suspicious Process Launching Activity Downloader.JS.Generic.MVX PUP.NetSupport
Trellix Endpoint Security
BAT/Agent.dz BAT/Agent.du Potentially unwanted program NetSupportRAT.a (ED) JS:Trojan.Cryxos.12957 JS:Trojan.Cryxos.12952
IOCs
  • URLs 
hxxps://altiordp[.]com/cdn/www.php
hxxps://cheetahsnv[.]com/cdn-js/wds.min.php
hxxps://ponraj[.]com/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/1.bat?964084
hxxps://ponraj[.]com/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/tempy.7z
hxxps://ponraj[.]com/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/7zz.exe
hxxps://ponraj[.]com/05e2f56dd5d8c33a6c402a19629be61c__9336ebf25087d91c818ee6e9ec29f8c1/2.bat
  • Files
e67f8b91555993e6315ffa9b146c759b9eeac5208116667fa4b31c717ebe5398 *1.bat 
675ede331d690fff93579f9767aa7f80cfbc9d4b99afe298ba3b456ee292ac71 *2.bat 
c136b1467d669a725478a6110ebaaab3cb88a3d389dfa688e06173c066b76fcf *7zz.exe 
00cf43f66d27692f25da1771dca7bf8c3c0e5aa78b35090013b013c17ceb0fff *Chrome_update.js 
b9711d8d6d1fd59ea9276a70e0b37c28ae26a105c325448e5d62f7858d61b8c2 *UpdateInstaller.zip 
7f976e221ece8acac5f6ea32d2ad427a9bcb237e6a6f754043265073cc004ce1 *Browser_portable.js 
42679bd369a3b772c43b9ba20bf8a31a2593a360cfa2de77aa6d2023f9a0c109 *tempy.7z
  • NetSupport manager files
ffb1559beeaec3262be121c2f41d3d15bf193531b7a2b9a73abfef6d805bd64f *HINTSS.txt
3c072532bf7674d0c5154d4d22a9d9c0173530c0d00f69911cdbc2552175d899 *HTCTL32.DLL
f4e2f28169e0c88b2551b6f1d63f8ba513feb15beacc43a82f626b93d673f56d *NSM.LIC
60fe386112ad51f40a1ee9e1b15eca802ced174d7055341c491dee06780b3f92 *NSM.ini
956b9fa960f913cce3137089c601f3c64cc24c54614b02bba62abb9610a985dd *PCICHEK.DLL
38684adb2183bf320eb308a96cdbde8d1d56740166c3e2596161f42a40fa32d5 *PCICL32.DLL
6795d760ce7a955df6c2f5a062e296128efdb8c908908eda4d666926980447ea *TCCTL32.DLL
213af995d4142854b81af3cf73dee7ffe9d8ad6e84fda6386029101dbf3df897 *client32.exe
ae1399c7b00710cdd7c119bee4b42c107bfee79c399b27a497a19094150f53ad *client32.ini
8793353461826fbd48f25ea8b835be204b758ce7510db2af631b28850355bd18 *msvcr100.dll
d96856cd944a9f1587907cacef974c0248b7f4210f1689c1e6bcac5fed289368 *nskbfltr.inf
4bfa4c00414660ba44bddde5216a7f28aeccaa9e2d42df4bbff66db57c60522b *nsm_vpro.ini
2d6c6200508c0797e6542b195c999f3485c4ef76551aa3c65016587788ba1703 *pcicapi.dll
fc6f9dbdf4b9f8dd1f5f3a74cb6e55119d3fe2c9db52436e10ba07842e6c3d7c *putty.exe
fedd609a16c717db9bea3072bed41e79b564c4bc97f959208bfa52fb3c9fa814 *remcmdstub.exe
  • client32 config
[HTTP]
CMPI=60
GatewayAddress=5.252.178.48:443
GSK=GA;L@KDPHB Port=443
SecondaryGateway=
SecondaryPort=
Chiến dịch SocGholish trước đó
Nguồn 🔗 Trellix

8. Discord.io xác nhận bị hacker đánh cắp dữ liệu của 760.000 thành viên

Discord.io đã tạm thời ngừng hoạt động sau khi bị vi phạm dữ liệu làm lộ thông tin của 760.000 thành viên.
Discord.io là dịch vụ của bên thứ ba cho phép chủ sở hữu máy chủ Discord tạo lời mời Discord cá nhân, tùy chỉnh cho kênh của họ. Hầu hết cộng đồng được xây dựng xung quanh máy chủ Discord của dịch vụ, với hơn 14.000 thành viên.
Tài khoản 'Akhirah' đã bắt đầu rao bán cơ sở dữ liệu Discord.io trên các diễn đàn hack Breached mới (một diễn đàn tội phạm mạng phổ biến được biết đến với việc bán và rò rỉ dữ liệu bị đánh cắp trong các vụ vi phạm dữ liệu). Để làm bằng chứng cho hành vi trộm cắp, kẻ đe dọa đã chia sẻ bốn hồ sơ người dùng từ cơ sở dữ liệu.
Bài đăng trên diễn đàn bán cơ sở dữ liệu Discord.io
Bài đăng trên diễn đàn bán cơ sở dữ liệu Discord.io
Theo tác nhân đe dọa, cơ sở dữ liệu chứa thông tin của 760.000 người dùng Discord.io và bao gồm các loại thông tin sau:
"userid","icon","icon_stored","userdiscrim","auth","auth_id","admin","moderator",
"email","name","username","password","tokens","tokens_free","faucet_timer",
"faucet_streak","address","date","api","favorites","ads","active","banned","public",
"domain","media","splash_opt","splash","auth_key","last_payment","expiration"
Thông tin nhạy cảm nhất trong vụ vi phạm là tên người dùng, địa chỉ email, địa chỉ thanh toán (số ít người), mật khẩu mã hóa và băm (số ít người nếu đăng ký vào năm 2018 trở về trước - Vào năm 2018, discord.io bắt đầu cung cấp Discord độc quyền dưới dạng tùy chọn đăng nhập) và ID Discord.
Chi tiết thanh toán được cho là an toàn vì chúng được lưu trữ an toàn bởi các đối tác thanh toán, Stripe và PayPal.
"Thông tin này không phải là thông tin riêng tư và có thể được lấy bởi bất kỳ ai chia sẻ máy chủ với bạn. Tuy nhiên, việc đưa thông tin này vào vi phạm có nghĩa là những người khác có thể liên kết tài khoản Discord của bạn với một địa chỉ email nhất định", Discord.io giải thích về việc rò rỉ ID Discord.
Theo báo cáo đầu tiên của  StackDiary , Discord.io đã xác nhận tính xác thực của vi phạm trong một thông báo gửi tới máy chủ và trang web Discord của mình và đã bắt đầu tạm thời tắt các dịch vụ của mình.
"Discord.io đã bị vi phạm dữ liệu. Chúng tôi sẽ dừng mọi hoạt động trong tương lai gần", một thông báo trên máy chủ Discord.
Trang web xác nhận rằng đã có vi phạm dữ liệu
Trang web xác nhận rằng đã có vi phạm dữ liệu
Ngay sau đó, họ đã xác nhận tính xác thực của dữ liệu bị rò rỉ và bắt đầu tắt dịch vụ cũng như hủy tất cả tư cách thành viên trả phí.
“Discord không liên kết với Discord.io. Chúng tôi không chia sẻ trực tiếp bất kỳ thông tin người dùng nào với Discord.io và chúng tôi không có quyền truy cập hoặc kiểm soát thông tin do Discord.io lưu giữ.”
Discord đã thu hồi mã thông báo xác thực oauth cho bất kỳ người dùng Discord nào đã sử dụng Discord.io, vì vậy ứng dụng đó không còn có thể thực hiện các hành động thay mặt cho những người dùng đó cho đến khi họ xác thực lại. Người dùng Discord bị ảnh hưởng nên thay đổi mật khẩu của họ và bật xác thực đa yếu tố (MFA).
Để bật MFA trên Discord :
  • Mở ứng dụng Discord dành cho máy tính để bàn hoặc truy cập discord.com/login và nhập thông tin đăng nhập để đăng nhập.
  • Chuyển đến tab dọc thứ hai, sau đó nhấp vào biểu tượng bánh răng bên cạnh tùy chọn Mute and Deafen để mở cài đặt người dùng.
  • Trong tab My Account, cuộn xuống và nhấp vào Enable Two-Factor Auth.
  • Nhập mật khẩu Discord và mở ứng dụng xác thực mà bạn chọn trên thiết bị của mình.
  • Quét mã QR và nhập mã gồm sáu chữ số để bật 2FA. Bạn có thể muốn ghi lại mã khóa và lưu trữ ở nơi an toàn, phòng trường hợp mất quyền truy cập vào tài khoản của mình bằng cách nào đó.
  • Nhấp vào Enable SMS Authentication để bật 2FA trên Discord qua SMS.
Vi phạm dữ liệu
Có một số hành động có thể thực hiện nếu đang hoặc nghi ngờ mình có thể là nạn nhân của một vụ vi phạm dữ liệu.
  • Kiểm tra lời khuyên của nhà cung cấp. Mỗi vi phạm đều khác nhau, vì vậy hãy kiểm tra với nhà cung cấp để tìm hiểu điều gì đã xảy ra và làm theo mọi lời khuyên cụ thể mà họ đưa ra.
  • Thay đổi mật khẩu. Có thể làm cho mật khẩu bị đánh cắp trở nên vô dụng đối với kẻ trộm bằng cách thay đổi nó. Chọn một mật khẩu mạnh không sử dụng cho bất kỳ mục đích nào khác. 
  • Bật xác thực hai yếu tố (2FA). Nếu có thể, hãy sử dụng khóa phần cứng, máy tính xách tay hoặc điện thoại tuân thủ FIDO2 làm yếu tố thứ hai. Một số hình thức xác thực hai yếu tố (2FA)
      • có thể bị lừa đảo dễ dàng như mật khẩu. 2FA dựa trên thiết bị FIDO2 không thể bị lừa đảo.
  • Cảnh giác với các nhà cung cấp giả mạo. Những tên trộm có thể liên hệ với bạn với tư cách là nhà cung cấp. Kiểm tra trang web của nhà cung cấp để xem họ có đang liên hệ với nạn nhân hay không và xác minh mọi liên hệ bằng một kênh liên lạc khác.
  • Các cuộc tấn công lừa đảo thường mạo danh những người hoặc thương hiệu mà bạn biết và sử dụng các chủ đề cần chú ý khẩn cấp, chẳng hạn như giao hàng bị nhỡ, tạm ngưng tài khoản và cảnh báo bảo mật.
  • Nếu bạn là thành viên của Discord.io, bạn nên đề phòng những email bất thường có liên kết đến các trang yêu cầu bạn nhập mật khẩu hoặc thông tin khác.
Nguồn 🔗 BleepingComputer, Malwarebytes

9. 400.000 mạng botnet proxy được xây dựng với khả năng lây nhiễm phần mềm độc hại lén lút

Các nhà nghiên cứu đã phát hiện ra một chiến dịch lớn cung cấp các ứng dụng máy chủ proxy cho ít nhất 400.000 hệ thống Windows. Các thiết bị hoạt động mà không có sự đồng ý của người dùng và một công ty đang tính phí cho lưu lượng proxy chạy qua các máy.
Residential Proxy là các proxies được tạo ra từ hệ thống địa chỉ IP dân cư, hộ gia đình sinh sống trong các khu dân cư tách biệt hoàn toàn với các Datacenter, tạo nên sự đa dạng về vị trí chứ không tập chung tại một điểm nhất định.
Proxy dân cư rất có giá trị đối với tội phạm mạng vì chúng có thể giúp triển khai các cuộc tấn công thông tin xác thực quy mô lớn từ các địa chỉ IP mới. Chúng cũng có các mục đích hợp pháp như xác minh quảng cáo, thu thập dữ liệu, kiểm tra trang web hoặc định tuyến lại để tăng cường bảo mật.
Một số công ty proxy bán quyền truy cập vào proxy dân cư và cung cấp phần thưởng bằng tiền cho những người dùng đồng ý chia sẻ băng thông của họ.
AT&T Alien Labs nói rằng mạng proxy 400.000 nút được xây dựng bằng cách sử dụng các tải trọng độc hại đã phân phối ứng dụng proxy.
Mặc dù công ty đứng sau mạng botnet tuyên bố rằng người dùng đã đồng ý, nhưng các nhà nghiên cứu đã phát hiện ra rằng proxy được cài đặt âm thầm trên thiết bị.
Khi ứng dụng proxy được ký, nó không có khả năng phát hiện chống virus, nằm trong tầm ngắm của các công ty bảo mật.
Trên thực tế, hai tệp nhị phân dựa trên Go (dành cho macOS và Windows) dường như bắt nguồn từ cùng một mã nguồn, tuy nhiên, ứng dụng khách proxy Windows tránh được sự phát hiện của phần mềm chống virus do sử dụng chữ ký số hợp lệ.
Proxyware infection
Quá trình lây nhiễm bắt đầu bằng việc thực thi một trình tải ẩn trong phần mềm và trò chơi bị bẻ khóa, trình tải này sẽ tự động tải xuống và cài đặt ứng dụng proxy trong nền mà không cần sự tương tác của người dùng.
Phần mềm độc hại sử dụng Inno Setup với các tham số cụ thể ẩn bất kỳ chỉ báo nào của quá trình cài đặt và tất cả lời nhắc thông thường của người dùng.
Trong quá trình cài đặt ứng dụng khách proxy, phần mềm độc hại sẽ gửi các tham số cụ thể, các tham số này cũng được chuyển tiếp đến máy chủ chỉ huy và kiểm soát (C2) để ứng dụng khách mới có thể được đăng ký và tích hợp vào mạng botnet.
Cài đặt và thiết lập tính bền bỉ (AT&T)
Cài đặt và thiết lập tính bền bỉ (AT&T)
Máy khách proxy thiết lập tính bền vững trên hệ thống bị nhiễm bằng cách tạo khóa đăng ký để kích hoạt nó khi hệ thống khởi động và bằng cách thêm tác vụ đã lên lịch để kiểm tra các bản cập nhật máy khách mới.
Sau đó, proxy liên tục thu thập thông tin quan trọng từ máy để đảm bảo hiệu suất và khả năng phản hồi tối ưu.
Điều này bao gồm mọi thứ từ danh sách quy trình và giám sát CPU đến việc sử dụng bộ nhớ và thậm chí theo dõi trạng thái pin.
Thu thập dữ liệu diễn ra trên thiết bị bị nhiễm
Thu thập dữ liệu diễn ra trên thiết bị bị nhiễm
AT&T khuyên nên tìm khóa thực thi "Digital Pulse" tại "%AppData%\" hoặc khóa Registry có tên tương tự trên "HKCU\Software\Microsoft\Windows\CurrentVersion\Run\." Nếu có, các nhà nghiên cứu khuyên nên loại bỏ chúng.
Tên của tác vụ đã lên lịch là "DigitalPulseUpdateTask" và cũng nên được xóa để loại bỏ khả năng cơ chế cập nhật máy khách tái tạo lại sự lây nhiễm.
Cuối cùng, tránh tải xuống phần mềm vi phạm bản quyền và chạy các tệp thực thi có nguồn gốc từ các vị trí đáng ngờ như mạng ngang hàng hoặc trang web cung cấp phần mềm cao cấp miễn phí.
Các dấu hiệu của việc lây nhiễm phần mềm proxy bao gồm hiệu suất và tốc độ internet xuống cấp, các mẫu lưu lượng truy cập mạng không mong muốn, liên lạc thường xuyên với các miền hoặc IP không xác định và cảnh báo hệ thống.
Nguồn 🔗 BleepingComputer

10. Chiến dịch LABRAT mới khai thác lỗ hổng GitLab cho các hoạt động tấn công đánh cắp tiền điện tử và proxy

notion image
LABRAT có hoạt động mới có liên quan đến tài chính được khai thác từ lỗ hổng nghiêm trọng hiện đã được vá trong GitLab như một phần của chiến dịch đánh cắp tiền điện tử và proxy.
Kẻ tấn công đã sử dụng các công cụ dựa trên chữ ký không bị phát hiện, phần mềm độc hại đa nền tảng tinh vi và lén lút, các công cụ command and control (C2) vượt qua tường lửa và rootkit dựa trên kernel để che giấu sự hiện diện của chúng.
Kẻ tấn công đã lạm dụng một dịch vụ hợp pháp là TryCloudflare để làm xáo trộn mạng C2 của họ.
Proxyjacking cho phép kẻ tấn công thuê máy chủ bị xâm nhập vào mạng proxy, giúp chúng có thể kiếm tiền từ băng thông không sử dụng. Mặt khác, Cryptojacking đề cập đến việc lạm dụng tài nguyên hệ thống để khai thác tiền điện tử.
Một khía cạnh đáng chú ý của chiến dịch là việc sử dụng các tệp nhị phân đã biên dịch được viết bằng Go và .NET để vượt qua tầm ngắm, LABRAT cũng cung cấp quyền truy cập cửa hậu vào các hệ thống bị nhiễm. Điều này cuối cùng có thể mở đường cho các cuộc tấn công tiếp theo, đánh cắp dữ liệu và ransomware.
Các chuỗi tấn công bắt đầu bằng việc khai thác CVE-2021-22205 (điểm CVSS: 10,0), một lỗ hổng thực thi mã từ xa đã bị các tác nhân đe dọa đến từ Indonesia khai thác trong quá khứ để triển khai các công cụ khai thác tiền điện tử.
Một lần truy cập thành công được theo sau bởi việc truy xuất tập lệnh dropper shell từ máy chủ C2 thiết lập tính bền vững, tiến hành mở rộng tấn công bằng thông tin xác thực SSH có trong hệ thống và tải xuống các tệp nhị phân bổ sung từ kho lưu trữ GitLab riêng.
Trong quá trình vận hành LABRAT, TryCloudflare đã được sử dụng để chuyển hướng các kết nối đến một máy chủ web được bảo vệ bằng mật khẩu lưu trữ một tập lệnh shell độc hại. Việc sử dụng cơ sở hạ tầng TryCloudFlare hợp pháp có thể khiến những người bảo vệ khó xác định tên miền phụ là độc hại, đặc biệt nếu nó cũng được sử dụng trong các hoạt động bình thường.
notion image
TryCloudflare là một công cụ miễn phí có thể được sử dụng để tạo Đường hầm Cloudflare mà không cần thêm trang web vào DNS của Cloudflare. Nó khởi chạy một quy trình tạo miền phụ ngẫu nhiên trên trycloudflare.com, do đó cho phép các tài nguyên nội bộ được hiển thị trên internet công cộng.
Sự phát triển làm tăng thêm việc lạm dụng cloudflared để thiết lập các kênh liên lạc bí mật từ các máy chủ bị xâm nhập và quyền truy cập chính vào mạng nạn nhân.
Trong biến thể thứ hai của cuộc tấn công, kẻ tấn công được cho là đã sử dụng máy chủ Solr thay vì TryCloudflare để tải xuống bản khai thác cho PwnKit ( CVE-2021-4034) từ cùng kho lưu trữ GitLab để nâng cao đặc quyền, cùng với một tệp khác không có khả năng truy cập lâu hơn.
Một số tải trọng được truy xuất bởi tập lệnh dropper bao gồm một tiện ích mã nguồn mở được gọi là Global Socket ( gsocket ) để truy cập từ xa và các tệp nhị phân để tiến hành cryptojacking và proxyjacking thông qua các dịch vụ đã biết như IPRoyal và ProxyLite. Quá trình khai thác được che giấu bằng cách sử dụng rootkit dựa trên kernel có tên là hide-cryptominers-linux-rootkit .
Cũng được phân phối là một tệp thực thi dựa trên Go được thiết kế để đảm bảo tính bền bỉ và loại bỏ các quy trình khai thác cạnh tranh hoặc các phiên bản cũ hơn của chính nó nhằm khai thác triệt để tài nguyên của máy và tối đa hóa thu nhập của chúng.
Vì mục tiêu của hoạt động LABRAT là tài chính nên thời gian là tiền bạc. Một thỏa hiệp không bị phát hiện càng lâu, kẻ tấn công càng kiếm được nhiều tiền và nạn nhân càng phải trả giá đắt.
Báo cáo của Sysdig
Nguồn 🔗 TheHackerNews

11. Chiến dịch lừa đảo đánh cắp tài khoản máy chủ email Zimbra trên toàn thế giới

Một chiến dịch lừa đảo đang diễn ra ít nhất là từ tháng 4 năm 2023 nhằm đánh cắp thông tin xác thực cho các máy chủ email Zimbra Collaboration trên toàn thế giới.
Các email lừa đảo được gửi đến các tổ chức trên toàn thế giới, không tập trung cụ thể vào một số tổ chức hoặc lĩnh vực nhất định. Tác nhân đe dọa đằng sau hoạt động này vẫn chưa được biết vào thời điểm này.
Bản đồ mục tiêu
Bản đồ mục tiêu
Giả làm quản trị viên Zimbra
Các cuộc tấn công bắt đầu bằng một email lừa đảo giả vờ là từ quản trị viên của một tổ chức thông báo cho người dùng về một bản cập nhật máy chủ email sắp xảy ra, điều này sẽ dẫn đến việc hủy kích hoạt tài khoản tạm thời.
Người nhận được yêu cầu mở tệp HTML đính kèm để tìm hiểu thêm về việc nâng cấp máy chủ và xem hướng dẫn về cách tránh vô hiệu hóa tài khoản.
Nội dung email lừa đảo
Nội dung email lừa đảo
Khi mở tệp đính kèm HTML, một trang đăng nhập Zimbra giả sẽ được hiển thị có logo và nhãn hiệu của công ty mục tiêu để có vẻ xác thực đối với mục tiêu.
Ngoài ra, trường tên người dùng trong biểu mẫu đăng nhập sẽ được điền trước, tiếp tục cho thấy tính hợp pháp của trang lừa đảo.
Trang lừa đảo Zimbra
Trang lừa đảo Zimbra
Mật khẩu tài khoản được nhập trong biểu mẫu lừa đảo được gửi đến máy chủ của tác nhân đe dọa thông qua yêu cầu HTTPS POST.
Mã lọc đầu vào của người dùng
Mã lọc đầu vào của người dùng
Trong một số trường hợp, kẻ tấn công sử dụng tài khoản quản trị viên bị xâm phạm để tạo hộp thư mới được sử dụng để phổ biến email lừa đảo tới các thành viên khác của tổ chức.
Các nhà phân tích nhấn mạnh rằng mặc dù chiến dịch này thiếu tinh vi, nhưng sự lan rộng và thành công của nó rất ấn tượng và người dùng Zimbra Collaboration nên nhận thức được mối đe dọa.
Zimbra servers
Tin tặc thường nhắm mục tiêu các máy chủ email Zimbra Collaboration để thực hiện hoạt động gián điệp mạng nhằm thu thập thông tin liên lạc nội bộ hoặc sử dụng chúng làm điểm vi phạm ban đầu để lây lan sang mạng của tổ chức mục tiêu.
Đầu năm nay, Proofpoint đã tiết lộ rằng nhóm tin tặc ' Winter Vivern ' của Nga đã khai thác lỗ hổng Zimbra Collaboration (CVE-2022-27926) để truy cập vào cổng webmail của các tổ chức, chính phủ, nhà ngoại giao và quân nhân liên kết với NATO.
Năm ngoái, Volexity đã báo cáo rằng một tác nhân đe dọa có tên ' TEMP_Heretic ' đã tận dụng lỗ hổng zero-day (CVE-2022-23682) trong sản phẩm Zimbra Collaboration để truy cập hộp thư và thực hiện các cuộc tấn công lừa đảo trực tuyến.
Sự phổ biến của Zimbra Collaboration giữa các tổ chức dự kiến có ngân sách CNTT thấp hơn đảm bảo rằng luôn là mục tiêu hấp dẫn đối với các kẻ đe dọa.
Báo cáo của ESET
Nguồn 🔗 BleepingComputer

12. Khai thác Apple iOS 16 cho phép truy cập di động để duy trì kết nối trong chế độ Airplane giả mạo

Các nhà nghiên cứu an ninh mạng đã ghi lại một kỹ thuật lưu giữ mới sau khi khai thác trên iOS 16 có thể bị lạm dụng để theo dõi và duy trì quyền truy cập vào thiết bị Apple ngay cả khi nạn nhân tin rằng thiết bị đó đang ngoại tuyến.
Phương pháp lừa nạn nhân nghĩ rằng Chế độ trên máy bay trên thiết bị của họ hoạt động trong khi trên thực tế, kẻ tấn công (sau khi khai thác thành công thiết bị) đã cài đặt Chế độ trên máy bay nhân tạo để chỉnh sửa giao diện người dùng để hiển thị biểu tượng Chế độ trên máy bay và cắt kết nối internet với tất cả các ứng dụng ngoại trừ ứng dụng của kẻ tấn công.
Chế độ trên máy bay cho phép người dùng tắt các tính năng không dây trong thiết bị của họ, ngăn chặn hiệu quả việc họ kết nối với mạng Wi-Fi, dữ liệu di động và Bluetooth cũng như gửi hoặc nhận cuộc gọi và tin nhắn văn bản.
Tạo ảo giác cho người dùng rằng Chế độ trên máy bay đang bật trong khi cho phép kẻ xấu lén lút duy trì kết nối mạng di động cho một ứng dụng giả mạo.
“Khi người dùng bật Chế độ trên máy bay, giao diện mạng pdp_ip0 (dữ liệu di động) sẽ không còn hiển thị địa chỉ ip ipv4/ipv6 nữa”. "Mạng di động bị ngắt kết nối và không sử dụng được, ít nhất là ở cấp độ không gian người dùng."
Mặc dù các thay đổi cơ bản được thực hiện bởi CommCenter , nhưng các sửa đổi giao diện người dùng (UI), chẳng hạn như chuyển đổi biểu tượng, được đảm nhận bởi SpringBoard.
notion image
Sau đó, mục tiêu của cuộc tấn công là tạo ra Chế độ trên máy bay nhân tạo giúp giữ nguyên các thay đổi về giao diện người dùng nhưng vẫn giữ kết nối di động cho tải trọng độc hại được phân phối và cài đặt trên thiết bị bằng các phương tiện khác.
“Sau khi bật Chế độ trên máy bay mà không có kết nối Wi-Fi, người dùng sẽ cho rằng việc mở Safari sẽ không có kết nối với internet, một cửa sổ thông báo nhắc người dùng 'Tắt Chế độ trên máy bay'."
Để loại bỏ, daemon CommCenter được sử dụng để chặn quyền truy cập dữ liệu di động cho các ứng dụng cụ thể và ngụy trang nó thành Chế độ trên máy bay bằng một chức năng được nối làm thay đổi cửa sổ cảnh báo để trông giống như cài đặt đã được bật.
Cần lưu ý rằng nhân hệ điều hành sẽ thông báo cho CommCenter thông qua quy trình gọi lại, đến lượt nó, thông báo cho SpringBoard để hiển thị cửa sổ bật lên.
Việc kiểm tra kỹ hơn trình nền CommCenter cũng cho thấy sự hiện diện của cơ sở dữ liệu SQL được sử dụng để ghi lại trạng thái truy cập dữ liệu di động của từng ứng dụng (còn gọi là ID gói), với một cờ được đặt thành giá trị "8" nếu một ứng dụng bị chặn khỏi truy cập nó.
Các nhà nghiên cứu cho biết: “Sử dụng cơ sở dữ liệu ID gói ứng dụng đã cài đặt này, giờ đây chúng tôi có thể chặn hoặc cho phép một ứng dụng truy cập Wi-Fi hoặc dữ liệu di động một cách có chọn lọc.
"Khi được kết hợp với các kỹ thuật khác được nêu ở trên, Chế độ trên máy bay giả hiện có vẻ hoạt động giống như chế độ thật, ngoại trừ lệnh cấm internet không áp dụng cho các quy trình không phải ứng dụng, chẳng hạn như trojan backdoor."
Apple nói rằng cuộc tấn công không liên quan đến một lỗ hổng cụ thể trong hệ điều hành và nó vạch ra một phương pháp cho phép kẻ tấn công đạt được sự kiên trì sau khi thỏa hiệp.
Nghiên cứu của Jamf Threat Labs
Nguồn 🔗 TheHackerNews