DarkCasino mối đe doạ APT mới nổi đang khai thác lỗ hổng WinRAR

www.tuoitre.vn -   10/11/2023 08:00:00 1338

Một nhóm hack lợi dụng lỗ hổng bảo mật được tiết lộ gần đây trong phần mềm WinRAR dưới dạng zero-day hiện đã được phân loại là mối đe dọa dai dẳng nâng cao hoàn toàn mới (APT).

DarkCasino mối đe doạ APT mới nổi đang khai thác lỗ hổng WinRAR

Chuyên gia an ninh mạng đã mô tả DarkCasino là một tác nhân “có động cơ kinh tế” lần đầu tiên được đưa ra ánh sáng vào năm 2021.

Chuyên gia cho biết trong một phân tích: “DarkCasino là một kẻ đe dọa APT có khả năng học hỏi và kỹ thuật mạnh mẽ, rất giỏi tích hợp các công nghệ tấn công APT phổ biến khác nhau vào quá trình tấn công của mình”.

“Các cuộc tấn công do nhóm APT DarkCasino phát động rất thường xuyên, thể hiện mong muốn đánh cắp tài sản trực tuyến mạnh mẽ.”

DarkCasino gần đây nhất có liên quan đến việc khai thác CVE-2023-38831 (điểm CVSS: 7,8), một lỗ hổng bảo mật có thể được vũ khí hóa để khởi chạy các tải trọng độc hại.

Vào tháng 8 năm 2023, Group-IB đã tiết lộ các cuộc tấn công trong thế giới thực nhằm vũ khí hóa lỗ hổng và nhắm vào các diễn đàn giao dịch trực tuyến ít nhất kể từ tháng 4 năm 2023 để cung cấp tải trọng cuối cùng có tên DarkMe, một trojan Visual Basic được cho là của DarkCasino.

Phần mềm độc hại được trang bị để thu thập thông tin máy chủ, chụp ảnh màn hình, thao tác với tệp và Windows Sổ đăng ký, thực thi các lệnh tùy ý và tự cập nhật trên máy chủ bị xâm nhập.

Mặc dù DarkCasino trước đây được phân loại là một chiến dịch lừa đảo do nhóm Evilnum dàn dựng nhắm vào các nền tảng tín dụng, tiền điện tử và cờ bạc trực tuyến ở châu Âu và châu Á, Chuyên gia cho biết việc theo dõi liên tục các hoạt động của đối thủ đã cho phép họ loại trừ mọi mối liên hệ tiềm ẩn với các tác nhân đe dọa đã biết.

Hiện chưa rõ nguồn gốc chính xác của tác nhân đe dọa.

“Trong những ngày đầu, DarkCasino chủ yếu hoạt động ở các nước quanh Địa Trung Hải và các nước châu Á khác bằng cách sử dụng các dịch vụ tài chính trực tuyến,” nó cho biết.

“Gần đây hơn, với sự thay đổi phương thức lừa đảo, các cuộc tấn công của nó đã tiếp cận người dùng tiền điện tử trên toàn thế giới, thậm chí bao gồm cả các quốc gia châu Á không nói tiếng Anh như Hàn Quốc và Việt Nam.”

Nhiều tác nhân đe dọa đã tham gia nhóm khai thác CVE-2023-38831 trong những tháng gần đây, bao gồm APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni và Sandworm.

Chuỗi tấn công của Ghostwriter tận dụng điểm yếu này được cho là đã mở đường cho PicassoLoader, một phần mềm độc hại trung gian hoạt động như một trình tải cho các tải trọng khác.

Chuyên gia cho biết: “Lỗ hổng WinRAR CVE-2023-38831 do nhóm APT DarkCasino mang đến mang đến sự bất ổn cho tình hình tấn công APT trong nửa cuối năm 2023”.

“Nhiều nhóm APT đã lợi dụng thời kỳ cửa sổ của lỗ hổng này để tấn công các mục tiêu quan trọng như chính phủ, với hy vọng vượt qua hệ thống bảo vệ của mục tiêu và đạt được mục đích của chúng”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Hội nghị đại lý “Let’s go Next: cybersec...

09/05/2024 10:00:00 205
Chiều ngày 7/5, Kaspersky đã có buổi hội nghị đại lý “Let’s go Next: cybersecurity redefined” tại So...

Họp báo ra mắt dòng sản phẩm chủ lực mới...

09/05/2024 09:00:00 153
Ngày 7/5, Kaspersky tự hào ra mắt giải pháp XDR tiên tiến Kaspersky Next, đồng thời chuyển đổi toàn ...

Google đã ngăn chặn 2,28 triệu ứng dụng ...

29/04/2024 08:00:00 279
Google hôm thứ Hai tiết lộ rằng gần 200.000 ứng dụng gửi tới Play Store dành cho Android đã bị từ ch...

Nhiều ứng dụng AI bị Apple gỡ khỏi App S...

29/04/2024 12:00:00 272
Apple đang tiến hành xử lý một danh mục ứng dụng tạo hình ảnh AI “quảng cáo khả năng tạo ra hình ảnh...

Để kiếm tiền từ Generative AI, các hãng ...

26/04/2024 12:00:00 294
Chi phí đằng sau Generative AI thực sự khá cao, vì nó đòi hỏi nhiều sức mạnh xử lý để đào tạo và vận...

Lỗ hổng bảo mật lớn phơi bày thao tác gõ...

25/04/2024 08:00:00 156
Các lỗ hổng bảo mật được phát hiện trong các ứng dụng bàn phím bính âm dựa trên đám mây có thể bị kh...
Xem thêm

LIÊN HỆ

Thông tin liên hệ