Tin tặc Nga sử dụng nhiều hệ thống định hướng lưu lượng độc hại để phát tán phần mềm độc hại

Hệ thống chỉ đường giao thông

Các kết nối tiềm năng giữa giải pháp phần mềm tội phạm dưới dạng dịch vụ (Caas) dựa trên đăng ký và bản sao bẻ khóa của Cobalt Strike đã được thiết lập trong điều mà các nhà nghiên cứu nghi ngờ rằng nó đang được cung cấp như một công cụ để khách hàng của mình phân tích các hoạt động sau khai thác.

Prometheus, như dịch vụ được gọi, lần đầu tiên được đưa ra ánh sáng vào tháng 8 năm 2021 khi công ty an ninh mạng Group-IB tiết lộ chi tiết về các chiến dịch phân phối phần mềm độc hại do các nhóm tội phạm mạng thực hiện để phân phối Campo Loader, Hancitor, IcedID, QBot, Buer Loader và SocGholish ở Bỉ và Mỹ

Với chi phí 250 đô la một tháng, nó được tiếp thị trên các diễn đàn ngầm của Nga như một hệ thống định hướng lưu lượng (TDS) để cho phép chuyển hướng lừa đảo trên quy mô lớn đến các trang đích giả mạo được thiết kế để triển khai các phần mềm độc hại trên các hệ thống được nhắm mục tiêu.

Nhóm Nghiên cứu và Tình báo của BlackBerry cho biết trong một báo cáo được chia sẻ với The : “Prometheus có thể được coi là một dịch vụ / nền tảng toàn diện cho phép các nhóm đe dọa thực hiện các hoạt động lừa đảo hoặc phần mềm độc hại của họ một cách dễ dàng. “Các thành phần chính của Prometheus bao gồm một web chứa cơ sở hạ tầng độc hại, phân phối email độc hại, lưu trữ tệp bất hợp pháp thông qua các dịch vụ hợp pháp, chuyển hướng lưu lượng và khả năng phân phối tệp độc hại.”

Xem tiếp:   Phần mềm độc hại Android mới Nhắm mục tiêu Khách hàng Ngân hàng Itaú Unibanco của Brazil

Thông thường, việc chuyển hướng được thực hiện từ một trong hai nguồn chính, cụ thể là với sự trợ giúp của các (hay còn gọi là quảng cáo độc hại) trên các trang web hợp pháp hoặc thông qua các trang web đã bị giả mạo để chèn mã độc hại.

Trong trường hợp của Prometheus, chuỗi tấn công bắt đầu bằng một email spam chứa tệp HTML hoặc trang Google Tài liệu, sau khi tương tác, chuyển hướng nạn nhân đến một trang web bị xâm nhập lưu trữ một cửa sau PHP. cung cấp phần mềm độc hại cho nạn nhân hoặc chuyển hướng họ đến một trang khác có thể chứa nội dung lừa đảo trực tuyến. “

Hệ thống chỉ đường giao thông

Hoạt động lâu nhất được kết nối với các nhà khai thác dịch vụ, những người có tên “Ma1n” trên các diễn đàn hack, được cho là đã bắt đầu vào tháng 10 năm 2018, với tác giả được liên kết với các công cụ bất hợp pháp khác cung cấp chuyển hướng chất lượng cao và bộ PowerMTA để gửi thư cho công ty hộp thư, trước khi đưa Prometheus TDS lên bán vào ngày 22 tháng 9 năm 2020.

Đó không phải là tất cả. BlackBerry cũng nhận thấy có sự trùng lặp giữa hoạt động liên quan đến Prometheus và phiên bản bất hợp pháp của phần mềm mô phỏng mối đe dọa và mô phỏng đối thủ Cobalt Strike, làm tăng khả năng bản sao này đang được “phổ biến bởi chính các nhà điều hành Prometheus.”

Xem tiếp:   Phát hiện lỗ hổng Log4j thứ hai (CVE-2021-45046) - Đã phát hành bản vá mới

Hệ thống chỉ đường giao thông

Các nhà nghiên cứu cho biết: “Có thể ai đó được kết nối với Prometheus TDS đang duy trì bản sao đã bẻ khóa này và cung cấp nó khi mua hàng. “Cũng có thể bản cài đặt đã bẻ khóa này có thể được cung cấp như một phần của bản cài đặt playbook tiêu chuẩn hoặc máy ảo (VM).”

Điều này được chứng minh bởi thực tế là một số tác nhân đe dọa, bao gồm DarkCrystal RAT, FickerStealer, FIN7, Qakbot và IceID, cũng như các băng đảng như REvil, Ryuk (Wizard Spider), BlackMatter và Cerber, đã sử dụng bản crack sao chép trong câu hỏi trong hai năm qua.

Trên hết, Cobalt Strike Beacon tương tự cũng đã được quan sát thấy cùng với các hoạt động liên kết với một nhà môi giới truy cập ban đầu được theo dõi là Zebra2104, người có các dịch vụ đã được các nhóm như StrongPity, MountLocker và Phobos sử dụng cho các chiến dịch của riêng họ.

Các nhà nghiên cứu lưu ý: “Mặc dù TDS không phải là một khái niệm mới, nhưng mức độ phức tạp, sự hỗ trợ và chi phí tài chính thấp đã làm tăng thêm sự tin cậy cho lý thuyết rằng đây là một xu hướng có khả năng gia tăng trong tương lai gần của mối đe dọa”, các nhà nghiên cứu lưu ý.

“Số lượng các nhóm đang sử dụng các dịch vụ như Prometheus TDS, nói lên sự thành công và hiệu quả của các dịch vụ cho thuê cơ sở hạ tầng bất hợp pháp này, về bản chất là các doanh nghiệp chính thức hỗ trợ các hoạt động độc hại của các nhóm bất kể quy mô, cấp độ của họ nguồn lực hoặc động cơ. “

Xem tiếp:   Đáp ứng các yêu cầu tuân thủ liên quan đến vá lỗi với TuxCare

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …