Tin tặc khai thác lỗi Follina để triển khai Rozena Backdoor

Rozena Backdoor

Một chiến dịch lừa đảo mới được quan sát đang tận dụng lỗ hổng bảo mật Follina được tiết lộ gần đây để phân phối một cửa hậu không có giấy tờ trước đây trên hệ thống Windows.

Nhà nghiên cứu Cara Lin của FortiGuard Labs cho biết trong một báo cáo tuần này: “Rozena là một phần mềm độc hại có khả năng chèn một kết nối shell từ xa trở lại máy của kẻ tấn công.

Được theo dõi là CVE-2022-30190, lỗ hổng thực thi mã từ xa của Windows Support Diagnostic Tool (MSDT) hiện đã được vá đã bị khai thác nhiều trong những tuần gần đây kể từ khi nó được đưa ra ánh sáng vào cuối tháng 5 năm 2022.

Điểm khởi đầu cho chuỗi tấn công mới nhất mà Fortinet quan sát được là một tài liệu Office được vũ khí hóa, khi mở ra, kết nối với URL Discord CDN để truy xuất tệp HTML (“index.htm”), đến lượt nó, gọi tiện ích chẩn đoán bằng cách sử dụng Lệnh PowerShell để các trọng tải ở giai đoạn tiếp theo từ cùng một không gian tệp đính kèm CDN.

Điều này bao gồm cấy ghép Rozena (“Word.exe”) và một tệp hàng loạt (“cd.bat”) được thiết kế để chấm dứt các quy trình MSDT, thiết lập tính bền vững của cửa sau bằng cách sửa đổi Windows Registry và tải xuống tài liệu Word vô hại làm mồi nhử .

Chức năng cốt lõi của phần mềm độc hại là đưa mã shellcode khởi chạy một shell ngược tới máy chủ của kẻ tấn công (“microsofto.duckdns[.]org “), cuối cùng cho phép kẻ tấn công kiểm soát hệ thống cần thiết để theo dõi và nắm bắt thông tin, đồng thời duy trì một cửa hậu đối với hệ thống bị xâm nhập.

Xem tiếp:   Lời khuyên của QNAP để giảm thiểu hành vi tấn công từ xa cho đến khi có các bản vá lỗi

Rozena Backdoor

Việc khai thác lỗ hổng Follina để phân phối phần mềm độc hại thông qua các tài liệu Word độc hại xảy ra khi các cuộc tấn công kỹ thuật xã hội dựa vào Microsoft Excel, phím tắt Windows (LNK) và tệp hình ảnh ISO dưới dạng ống nhỏ giọt để triển khai phần mềm độc hại như Emotet, QBot, IcedID và Bumblebee để thiết bị của nạn nhân.

Các ống nhỏ giọt được cho là được phân phối thông qua các email chứa trực tiếp ống nhỏ giọt hoặc tệp ZIP được bảo vệ bằng mật khẩu dưới dạng tệp đính kèm, tệp HTML trích xuất ống nhỏ giọt khi được mở hoặc liên kết để tải xuống ống nhỏ giọt trong nội dung email.

Mặc dù các cuộc tấn công được phát hiện vào đầu tháng 4 nổi bật với các tệp Excel có macro XLM, quyết định chặn macro theo mặc định của Microsoft cùng thời điểm được cho là đã buộc các tác nhân đe dọa chuyển sang các phương pháp thay thế như buôn lậu HTML cũng như các tệp .LNK và .ISO .

Rozena Backdoor

Tháng trước, Cyble đã tiết lộ chi tiết về một công cụ phần mềm độc hại có tên là Quantum đang được bán trên các diễn đàn ngầm để trang bị cho những kẻ tội phạm mạng khả năng tạo các tệp .LNK và .ISO độc hại.

Cần lưu ý rằng macro là một phương tiện tấn công đã được thử nghiệm và thử nghiệm cho những kẻ thù tìm cách loại bỏ phần mềm tống tiền và phần mềm độc hại khác trên hệ thống Windows, cho dù đó là thông qua email lừa đảo hoặc các phương tiện khác.

Xem tiếp:   Conti Ransomware Các cuộc trò chuyện nội bộ của băng đảng bị rò rỉ trực tuyến sau khi đứng về phía Nga

Kể từ đó, Microsoft đã tạm dừng kế hoạch vô hiệu hóa macro Office trong các tệp được tải xuống từ internet, và công ty nói với The Hacker News rằng họ đang dành thời gian để thực hiện “các thay đổi bổ sung để nâng cao khả năng sử dụng.”

.

Related Posts

Check Also

Lỗ hổng ÆPIC và SQUIP được tìm thấy trong bộ xử lý Intel và AMD

Một nhóm các nhà nghiên cứu đã tiết lộ chi tiết về một lỗ hổng …