Logo Zephyrnet

Trí thông minh dữ liệu tạo

An ninh mạng

Nhóm phần mềm tống tiền DEV-0569 có tính sáng tạo vượt trội, cảnh báo của Microsoft

Được xuất bản lại bởi Plato
Được xuất bản lại bởi Plato

Ngày:

Lượt xem: 330

Nó thường bắt đầu bằng quảng cáo độc hại và kết thúc bằng việc triển khai phần mềm tống tiền Royal, nhưng một nhóm mối đe dọa mới đã nổi bật nhờ khả năng đổi mới các bước độc hại ở giữa để thu hút các mục tiêu mới.

Nhóm tấn công mạng, được Microsoft Security Threat Intelligence theo dõi với tên DEV-0569, đáng chú ý nhờ khả năng liên tục cải thiện khả năng phát hiện, tránh bị phát hiện và tải trọng sau khi xâm nhập, theo một báo cáo trong tuần này từ gã khổng lồ điện toán.

“DEV-0569 đặc biệt dựa vào quảng cáo độc hại, các liên kết lừa đảo trỏ đến trình tải xuống phần mềm độc hại giả làm trình cài đặt phần mềm hoặc cập nhật được nhúng trong email spam, trang diễn đàn giả mạo và nhận xét blog,” các nhà nghiên cứu của Microsoft cho biết.

Chỉ trong vài tháng, nhóm Microsoft đã quan sát thấy những đổi mới của nhóm, bao gồm ẩn các liên kết độc hại trên các biểu mẫu liên hệ của tổ chức; chôn vùi các trình cài đặt giả mạo trên các trang web và kho tải xuống hợp pháp; và sử dụng quảng cáo của Google trong các chiến dịch của mình để ngụy trang cho các hoạt động độc hại của mình.

“Hoạt động DEV-0569 sử dụng các tệp nhị phân đã ký và cung cấp tải trọng phần mềm độc hại được mã hóa,” nhóm Microsoft cho biết thêm. “Nhóm, cũng được biết là dựa nhiều vào các kỹ thuật trốn tránh phòng thủ, đã tiếp tục sử dụng công cụ nguồn mở Nsudo để cố gắng vô hiệu hóa các giải pháp chống vi-rút trong các chiến dịch gần đây.”

Vị trí thành công của nhóm DEV-0569 để phục vụ như một nhà môi giới truy cập cho các hoạt động ransomware khác, Microsoft Security cho biết.

Cách chống lại sự khéo léo của cuộc tấn công mạng

Bỏ qua các mánh khóe mới, Mike Parkin, kỹ sư kỹ thuật cao cấp tại Vulcan Cyber, chỉ ra rằng nhóm đe dọa thực sự đã thực hiện các điều chỉnh dọc theo các khía cạnh của chiến thuật chiến dịch của chúng, nhưng luôn dựa vào việc người dùng mắc lỗi. Vì vậy, để bảo vệ, giáo dục người dùng là chìa khóa, ông nói.

Parkin nói với Dark Reading: “Các cuộc tấn công lừa đảo và quảng cáo độc hại được báo cáo ở đây hoàn toàn dựa vào việc khiến người dùng tương tác với mồi nhử. “Điều đó có nghĩa là nếu người dùng không tương tác thì sẽ không có vi phạm.”

Anh ấy nói thêm, “Các nhóm bảo mật cần phải đi trước các khai thác và phần mềm độc hại mới nhất đang được triển khai trong tự nhiên, nhưng vẫn có yếu tố giáo dục và nâng cao nhận thức của người dùng là bắt buộc và sẽ luôn được yêu cầu, để chuyển cộng đồng người dùng từ chính bề mặt tấn công thành một tuyến phòng thủ vững chắc.”

Làm cho người dùng không bị thu hút chắc chắn nghe có vẻ là một chiến lược vững chắc, nhưng Chris Clements, phó chủ tịch kiến ​​trúc giải pháp tại Cerberus Sentinel, nói với Dark Reading rằng “vừa phi thực tế vừa không công bằng” khi mong đợi người dùng duy trì 100% cảnh giác khi đối mặt với các vấn đề xã hội ngày càng thuyết phục. mánh khóe kỹ thuật. Thay vào đó, cần phải có một cách tiếp cận toàn diện hơn đối với bảo mật, ông giải thích.

“Sau đó, các nhóm kỹ thuật và an ninh mạng tại một tổ chức phải đảm bảo rằng sự thỏa hiệp của một người dùng không dẫn đến thiệt hại trên diện rộng cho tổ chức từ các mục tiêu phổ biến nhất của tội phạm mạng là đánh cắp dữ liệu hàng loạt và phần mềm tống tiền,” Clements nói.

Vấn đề kiểm soát IAM

Robert Hughes, CISO tại RSA, khuyên bạn nên bắt đầu với các biện pháp kiểm soát danh tính và quản lý truy cập (IAM).

“Quản trị quyền truy cập và nhận dạng mạnh mẽ có thể giúp kiểm soát sự lây lan của phần mềm độc hại và hạn chế tác động của nó, ngay cả sau khi thất bại ở cấp độ ngăn chặn phần mềm độc hại của con người và thiết bị đầu cuối, chẳng hạn như ngăn cá nhân được ủy quyền nhấp vào liên kết và cài đặt phần mềm mà họ được phép cài đặt,” Hughes nói với Dark Reading. “Khi bạn đã đảm bảo rằng dữ liệu và danh tính của mình được an toàn, hậu quả của một cuộc tấn công bằng mã độc tống tiền sẽ không gây thiệt hại nhiều — và sẽ không mất nhiều công sức để tái tạo lại một điểm cuối.”

Phil Neray từ CardinalOps đồng ý. Anh ấy giải thích rằng các chiến thuật như Google Ads độc hại rất khó chống lại, vì vậy các nhóm bảo mật cũng phải tập trung vào việc giảm thiểu hậu quả sau khi một cuộc tấn công ransomware xảy ra.

“Điều đó có nghĩa là đảm bảo SoC có khả năng phát hiện hành vi đáng ngờ hoặc trái phép, chẳng hạn như leo thang đặc quyền và sử dụng công cụ quản trị sống ngoài đất liền như PowerShell và các tiện ích quản lý từ xa,” Neray nói.

tại chỗ_img

Tin tức mới nhất

tại chỗ_img

Bản quyền @ 2024 Plato Technologies Inc.