DarkCasino mối đe doạ APT mới nổi đang khai thác lỗ hổng WinRAR

www.tuoitre.vn -   10/11/2023 08:00:00 1484

Một nhóm hack lợi dụng lỗ hổng bảo mật được tiết lộ gần đây trong phần mềm WinRAR dưới dạng zero-day hiện đã được phân loại là mối đe dọa dai dẳng nâng cao hoàn toàn mới (APT).

DarkCasino mối đe doạ APT mới nổi đang khai thác lỗ hổng WinRAR

Chuyên gia an ninh mạng đã mô tả DarkCasino là một tác nhân “có động cơ kinh tế” lần đầu tiên được đưa ra ánh sáng vào năm 2021.

Chuyên gia cho biết trong một phân tích: “DarkCasino là một kẻ đe dọa APT có khả năng học hỏi và kỹ thuật mạnh mẽ, rất giỏi tích hợp các công nghệ tấn công APT phổ biến khác nhau vào quá trình tấn công của mình”.

“Các cuộc tấn công do nhóm APT DarkCasino phát động rất thường xuyên, thể hiện mong muốn đánh cắp tài sản trực tuyến mạnh mẽ.”

DarkCasino gần đây nhất có liên quan đến việc khai thác CVE-2023-38831 (điểm CVSS: 7,8), một lỗ hổng bảo mật có thể được vũ khí hóa để khởi chạy các tải trọng độc hại.

Vào tháng 8 năm 2023, Group-IB đã tiết lộ các cuộc tấn công trong thế giới thực nhằm vũ khí hóa lỗ hổng và nhắm vào các diễn đàn giao dịch trực tuyến ít nhất kể từ tháng 4 năm 2023 để cung cấp tải trọng cuối cùng có tên DarkMe, một trojan Visual Basic được cho là của DarkCasino.

Phần mềm độc hại được trang bị để thu thập thông tin máy chủ, chụp ảnh màn hình, thao tác với tệp và Windows Sổ đăng ký, thực thi các lệnh tùy ý và tự cập nhật trên máy chủ bị xâm nhập.

Mặc dù DarkCasino trước đây được phân loại là một chiến dịch lừa đảo do nhóm Evilnum dàn dựng nhắm vào các nền tảng tín dụng, tiền điện tử và cờ bạc trực tuyến ở châu Âu và châu Á, Chuyên gia cho biết việc theo dõi liên tục các hoạt động của đối thủ đã cho phép họ loại trừ mọi mối liên hệ tiềm ẩn với các tác nhân đe dọa đã biết.

Hiện chưa rõ nguồn gốc chính xác của tác nhân đe dọa.

“Trong những ngày đầu, DarkCasino chủ yếu hoạt động ở các nước quanh Địa Trung Hải và các nước châu Á khác bằng cách sử dụng các dịch vụ tài chính trực tuyến,” nó cho biết.

“Gần đây hơn, với sự thay đổi phương thức lừa đảo, các cuộc tấn công của nó đã tiếp cận người dùng tiền điện tử trên toàn thế giới, thậm chí bao gồm cả các quốc gia châu Á không nói tiếng Anh như Hàn Quốc và Việt Nam.”

Nhiều tác nhân đe dọa đã tham gia nhóm khai thác CVE-2023-38831 trong những tháng gần đây, bao gồm APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni và Sandworm.

Chuỗi tấn công của Ghostwriter tận dụng điểm yếu này được cho là đã mở đường cho PicassoLoader, một phần mềm độc hại trung gian hoạt động như một trình tải cho các tải trọng khác.

Chuyên gia cho biết: “Lỗ hổng WinRAR CVE-2023-38831 do nhóm APT DarkCasino mang đến mang đến sự bất ổn cho tình hình tấn công APT trong nửa cuối năm 2023”.

“Nhiều nhóm APT đã lợi dụng thời kỳ cửa sổ của lỗ hổng này để tấn công các mục tiêu quan trọng như chính phủ, với hy vọng vượt qua hệ thống bảo vệ của mục tiêu và đạt được mục đích của chúng”.

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...

03/12/2024 12:00:00 119
Nhiều người đã thử đủ mọi cách, thậm chí chia sẻ ảnh chụp màn hình chứa tin nhắn có tên này hoặc đổi...

Cuộc tấn công Microsoft 365 mới có thể p...

02/12/2024 12:00:00 105
Một cuộc tấn công phishing mới có thể truy cập vào tài khoản Microsoft 365, ngay cả khi mục tiêu đã ...

Người dùng chưa đủ 18 tuổi sẽ không được...

29/11/2024 12:00:00 95
Bộ lọc (filter) làm đẹp là một trong những tính năng quan trọng và gây nghiện cho đa số người dùng n...

Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...

28/11/2024 12:00:00 51
Các nhà nghiên cứu an ninh mạng đã tiết lộ một bộ công cụ lừa đảo mới đã được sử dụng trong các chiế...

Kỹ thuật hack này có thể cách ly may tín...

27/11/2024 12:00:00 42
Để làm được điều đó, hacker sử dụng cáp SATA như là một ăng-ten không dây để truyền dữ liệu và thông...

Tính năng Email được bảo vệ mới của Gmai...

26/11/2024 08:00:00 42
Google đang chuẩn bị một tính năng mới có tên là Shielded Email cho phép người dùng tạo bí danh emai...
Xem thêm

LIÊN HỆ

Thông tin liên hệ

Zalo Button