DarkCasino mối đe doạ APT mới nổi đang khai thác lỗ hổng WinRAR
Một nhóm hack lợi dụng lỗ hổng bảo mật được tiết lộ gần đây trong phần mềm WinRAR dưới dạng zero-day hiện đã được phân loại là mối đe dọa dai dẳng nâng cao hoàn toàn mới (APT).
Chuyên gia an ninh mạng đã mô tả DarkCasino là một tác nhân “có động cơ kinh tế” lần đầu tiên được đưa ra ánh sáng vào năm 2021.
Chuyên gia cho biết trong một phân tích: “DarkCasino là một kẻ đe dọa APT có khả năng học hỏi và kỹ thuật mạnh mẽ, rất giỏi tích hợp các công nghệ tấn công APT phổ biến khác nhau vào quá trình tấn công của mình”.
“Các cuộc tấn công do nhóm APT DarkCasino phát động rất thường xuyên, thể hiện mong muốn đánh cắp tài sản trực tuyến mạnh mẽ.”
DarkCasino gần đây nhất có liên quan đến việc khai thác CVE-2023-38831 (điểm CVSS: 7,8), một lỗ hổng bảo mật có thể được vũ khí hóa để khởi chạy các tải trọng độc hại.
Vào tháng 8 năm 2023, Group-IB đã tiết lộ các cuộc tấn công trong thế giới thực nhằm vũ khí hóa lỗ hổng và nhắm vào các diễn đàn giao dịch trực tuyến ít nhất kể từ tháng 4 năm 2023 để cung cấp tải trọng cuối cùng có tên DarkMe, một trojan Visual Basic được cho là của DarkCasino.
Phần mềm độc hại được trang bị để thu thập thông tin máy chủ, chụp ảnh màn hình, thao tác với tệp và Windows Sổ đăng ký, thực thi các lệnh tùy ý và tự cập nhật trên máy chủ bị xâm nhập.
Mặc dù DarkCasino trước đây được phân loại là một chiến dịch lừa đảo do nhóm Evilnum dàn dựng nhắm vào các nền tảng tín dụng, tiền điện tử và cờ bạc trực tuyến ở châu Âu và châu Á, Chuyên gia cho biết việc theo dõi liên tục các hoạt động của đối thủ đã cho phép họ loại trừ mọi mối liên hệ tiềm ẩn với các tác nhân đe dọa đã biết.
Hiện chưa rõ nguồn gốc chính xác của tác nhân đe dọa.
“Trong những ngày đầu, DarkCasino chủ yếu hoạt động ở các nước quanh Địa Trung Hải và các nước châu Á khác bằng cách sử dụng các dịch vụ tài chính trực tuyến,” nó cho biết.
“Gần đây hơn, với sự thay đổi phương thức lừa đảo, các cuộc tấn công của nó đã tiếp cận người dùng tiền điện tử trên toàn thế giới, thậm chí bao gồm cả các quốc gia châu Á không nói tiếng Anh như Hàn Quốc và Việt Nam.”
Nhiều tác nhân đe dọa đã tham gia nhóm khai thác CVE-2023-38831 trong những tháng gần đây, bao gồm APT28, APT29, APT40, Dark Pink, Ghostwriter, Konni và Sandworm.
Chuỗi tấn công của Ghostwriter tận dụng điểm yếu này được cho là đã mở đường cho PicassoLoader, một phần mềm độc hại trung gian hoạt động như một trình tải cho các tải trọng khác.
Chuyên gia cho biết: “Lỗ hổng WinRAR CVE-2023-38831 do nhóm APT DarkCasino mang đến mang đến sự bất ổn cho tình hình tấn công APT trong nửa cuối năm 2023”.
“Nhiều nhóm APT đã lợi dụng thời kỳ cửa sổ của lỗ hổng này để tấn công các mục tiêu quan trọng như chính phủ, với hy vọng vượt qua hệ thống bảo vệ của mục tiêu và đạt được mục đích của chúng”.
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
ChatGPT sẽ báo lỗi nếu bạn hỏi về cái tê...
Cuộc tấn công Microsoft 365 mới có thể p...
Người dùng chưa đủ 18 tuổi sẽ không được...
Bộ công cụ lừa đảo mới Xiū gǒu nhắm vào ...
Kỹ thuật hack này có thể cách ly may tín...
Tính năng Email được bảo vệ mới của Gmai...
- BLACK FRIDAY khuyến mãi cực sốc – Bảo vệ máy tính ...
- Chương trình Khuyến mãi “Vòng quay may mắn” 2024
- Các mối đe dọa an ninh mạng tại Việt Nam gia tăng ...
- Hướng dẫn cài đặt và kích hoạt Kaspersky For Iphon...
- Các cuộc tấn công ransomware tiếp tục nhắm vào nhi...
- Top 8 phần mềm chatbot AI miễn phí phổ biến hiện n...