Microsoft cảnh báo về chiến dịch quảng cáo độc hại phát tán ransomware CACTUS

Microsoft đã cảnh báo về một làn sóng tấn công ransomware CACTUS mới tận dụng các chiêu dụ quảng cáo độc hại để triển khai DanaBot làm vectơ truy cập ban đầu

Nhóm Tình báo Đe dọa của Microsoft cho biết trong một loạt bài đăng trên X (trước đây là Twitter) rằng vụ lây nhiễm DanaBot đã dẫn đến “hoạt động can thiệp trên bàn phím của kẻ điều hành ransomware Storm-0216 (Twisted Spider, UNC2198), đỉnh điểm là việc triển khai ransomware CACTUS”. )

DanaBot, được gã khổng lồ công nghệ theo dõi với tên gọi Storm-1044, là một công cụ đa chức năng giống như Emotet, TrickBot, QakBot và IcedID, có khả năng hoạt động như một kẻ đánh cắp và là điểm truy cập cho các tải trọng giai đoạn tiếp theo.

Về phần mình, UNC2198 trước đây đã được quan sát thấy việc lây nhiễm IcedID vào các điểm cuối để triển khai các dòng ransomware như Maze và Egregor, theo chi tiết của Mandiant thuộc sở hữu của Google vào tháng 2 năm 2021

Theo Microsoft, kẻ đe dọa cũng đã lợi dụng quyền truy cập ban đầu do lây nhiễm QakBot cung cấp. Do đó, việc chuyển sang DanaBot có thể là kết quả của hoạt động thực thi pháp luật phối hợp vào tháng 8 năm 2023 nhằm đánh sập cơ sở hạ tầng của QakBot.

Redmond lưu ý thêm: “Chiến dịch Danabot hiện tại, được quan sát lần đầu tiên vào tháng 11, dường như đang sử dụng phiên bản riêng tư của phần mềm độc hại đánh cắp thông tin thay vì cung cấp phần mềm độc hại dưới dạng dịch vụ”.

Thông tin xác thực mà phần mềm độc hại thu được sẽ được truyền đến máy chủ do tác nhân kiểm soát, sau đó là chuyển động ngang thông qua các nỗ lực đăng nhập RDP và cuối cùng là trao quyền truy cập vào Storm-0216.

Tiết lộ này được đưa ra vài ngày sau khi Arctic Wolf tiết lộ một loạt cuộc tấn công ransomware CACTUS khác đang tích cực khai thác các lỗ hổng nghiêm trọng trong nền tảng phân tích dữ liệu có tên Qlik Sense để giành quyền truy cập vào mạng công ty.

Nó cũng theo sau việc phát hiện ra một chủng ransomware macOS mới có tên là Turtle được viết bằng ngôn ngữ lập trình Go và được ký bằng chữ ký adhoc, do đó ngăn không cho nó được thực thi khi khởi chạy do các biện pháp bảo vệ của Gatekeeper.

Hương – Theo TheHackerNews