Microsoft phá vỡ mạng Botnet của tội phạm mạng ZLoader trong hoạt động toàn cầu

Microsoft và một nhóm các công ty an ninh mạng đã thực hiện các bước pháp lý và kỹ thuật để phá vỡ ZLoader, chiếm quyền kiểm soát 65 miền được sử dụng để kiểm soát và giao tiếp với các máy chủ bị nhiễm.

Amy Hogan- Burney, tổng giám đốc Đơn vị Tội phạm Kỹ thuật số (DCU) của Microsoft, cho biết.

Microsoft cho biết, hoạt động này được thực hiện với sự hợp tác của ESET, Phòng thí nghiệm Black Lotus của Lumen, Đơn vị 42 của Palo Alto, Trung tâm Phân tích và Chia sẻ Thông tin Dịch vụ Tài chính (FS-ISAC) và Trung tâm Phân tích và Chia sẻ Thông tin Y tế (H-ISAC) ).

Do sự gián đoạn, các tên miền hiện được chuyển hướng đến một hố sụt, ngăn chặn hiệu quả những kẻ điều hành tội phạm của mạng botnet liên hệ với các thiết bị bị xâm phạm. 319 miền dự phòng khác được tạo thông qua thuật toán tạo miền nhúng (DGA) cũng đã bị tịch thu như một phần của hoạt động tương tự.

ZLoader, giống như đối tác khét tiếng TrickBot, bắt đầu như một dẫn xuất của trojan ngân hàng Zeus vào tháng 11 năm 2019 trước khi trải qua các cải tiến và nâng cấp tích cực cho phép các tác nhân đe dọa khác mua từ các diễn đàn ngầm và sử dụng lại nó cho phù hợp với mục tiêu của họ.

Xem tiếp:   Các nhà nghiên cứu khám phá cách phần mềm độc hại Colibri vẫn tồn tại dai dẳng trên các hệ thống bị tấn công

Microsoft cho biết: “ZLoader vẫn có liên quan như một công cụ lựa chọn của những kẻ tấn công bằng cách bao gồm các khả năng tránh phòng thủ, như vô hiệu hóa các công cụ bảo mật và chống vi-rút cũng như bán quyền truy cập dưới dạng dịch vụ cho các nhóm liên kết khác, chẳng hạn như các nhà khai thác ransomware”.

“Các khả năng của nó bao gồm chụp ảnh chụp màn hình, thu thập cookie, đánh cắp thông tin xác thực và dữ liệu ngân hàng, thực hiện trinh sát, khởi chạy cơ chế bền bỉ, lạm dụng các công cụ bảo mật hợp pháp và cung cấp quyền truy cập từ xa cho những kẻ tấn công.”

Sự chuyển đổi của ZLoader từ một trojan tài chính cơ bản sang một giải pháp phần mềm độc hại phức tạp như một dịch vụ (MaaS) cũng đã giúp các nhà khai thác có thể kiếm tiền từ các thỏa hiệp bằng cách bán quyền truy cập cho các thành viên liên kết khác, những người sau đó sử dụng nó để triển khai thêm các tải trọng khác như Cobalt Strike và ransomware.

Các chiến dịch liên quan đến ZLoader đã lạm dụng email lừa đảo, phần mềm quản lý từ xa và Google Ads giả mạo để có được quyền truy cập ban đầu vào các máy mục tiêu, đồng thời sử dụng một số chiến thuật phức tạp để phòng thủ, bao gồm cả việc tiêm mã độc hại vào các quy trình hợp pháp.

Xem tiếp:   Ngân hàng di động Trojan BRATA có được khả năng mới, nguy hiểm

Thật thú vị, một phân tích về các hoạt động độc hại của phần mềm độc hại kể từ tháng 2 năm 2020 đã tiết lộ rằng hầu hết các hoạt động bắt nguồn từ chỉ hai chi nhánh kể từ tháng 10 năm 2020: “dh8f3 @ 3hdf # hsf23” và “03d5ae30a0bd934a23b6a7f0756aa504.”

Trong khi công ty trước đây sử dụng “khả năng của ZLoader trong việc triển khai các tải trọng tùy ý để phân phối các tải trọng độc hại cho các bot của nó”, thì công ty liên kết khác, hoạt động cho đến nay, dường như đã tập trung vào việc bòn rút thông tin xác thực từ các nền tảng ngân hàng, tiền điện tử và các trang thương mại điện tử, công ty an ninh mạng Slovak ESET cho biết.

Trên hết, Microsoft cũng vạch mặt Denis Malikov, người sống ở thành phố Simferopol trên Bán đảo Crimea, là một trong những tác nhân đằng sau sự phát triển của một mô-đun được botnet sử dụng để phát tán ransomware, nói rằng họ đã chọn đặt tên cho thủ phạm để “làm rõ rằng tội phạm mạng sẽ không được phép ẩn đằng sau sự ẩn danh của internet để thực hiện tội ác của chúng.”

Nỗ lực gỡ xuống gợi nhớ đến một hoạt động toàn cầu nhằm phá vỡ mạng botnet TrickBot khét tiếng vào tháng 10 năm 2020. Mặc dù mạng botnet này đã hoạt động trở lại vào năm ngoái, nhưng kể từ đó, các tác giả phần mềm độc hại đã ngừng hoạt động để ủng hộ các biến thể lén lút khác như BazarBackdoor.

Xem tiếp:   Các nhà nghiên cứu chứng minh cuộc tấn công kênh phụ mới đối với mã hóa đồng dạng

“Giống như nhiều biến thể phần mềm độc hại hiện đại, việc đưa ZLoader vào thiết bị thường chỉ là bước đầu tiên dẫn đến việc trở thành một cuộc tấn công lớn hơn”, Microsoft cho biết. “Trojan tiếp tục minh chứng cho xu hướng phần mềm độc hại phổ biến ngày càng ẩn chứa nhiều mối đe dọa nguy hiểm hơn.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …