Mối Đe Dọa Mạng Tinh Vi và Chiến Lược Bảo Vệ

08/04/2025
2 mins read
Các đối tượng tấn công ngày càng tận dụng các nhà cung cấp dịch vụ lưu trữ máy chủ riêng ảo (VPS) để phân phối malware và né tránh việc bị phát hiện. Dưới đây là các điểm chính và ví dụ từ các cuộc tấn công gần đây:
Nội dung
Trojan Ngân Hàng Grandoreiro
Nhóm APT ToddyCat
Tấn công Web Skimming
Malware Screensaver Windows
Chiến lược Giảm thiểu

Trojan Ngân Hàng Grandoreiro

Tổng quan chiến dịch:
Tội phạm mạng đang hồi sinh trojan ngân hàng Grandoreiro trong các chiến dịch phishing tinh vi nhằm vào người dùng ngân hàng ở Mỹ Latinh và Châu Âu. Malware được thiết kế để đánh cắp thông tin đăng nhập và các thông tin nhạy cảm.

Cơ chế lây nhiễm:

  1. Email giả mạo:
    • Các email giả mạo đóng vai trò như cơ quan thuế, đặc biệt ở các quốc gia như Mexico, Argentina và Tây Ban Nha.
    • Các email này được viết bằng tiếng Tây Ban Nha và sử dụng cơ sở hạ tầng người gửi trông hợp pháp để đánh lừa người nhận.
  2. Liên kết độc hại:
    • Các liên kết nhúng chuyển hướng nạn nhân đến các miền phụ của các máy chủ lưu trữ Contabo.
    • Các liên kết này sử dụng các chức năng JavaScript để phân tích trình duyệt và nền tảng của người dùng.
  3. Phân phối payload:
    • Tệp zip tải xuống chứa một script Visual Basic heavily obfuscated.
    • Tệp zip được giải nén mang đến một payload thực thi (.exe) để bắt đầu việc đánh cắp thông tin đăng nhập.
  4. Máy chủ điều khiển và điều khiển (C2):
    • Malware kết nối tới các địa chỉ IP qua các cổng không phổ biến.

Nhóm APT ToddyCat

Tổng quan chiến dịch:
Nhóm APT ToddyCat đã khai thác một lỗ hổng chưa được biết đến trong ESET’s Command Line Scanner để che giấu các hoạt động độc hại của họ.

Cơ chế lây nhiễm:

  1. Khai thác lỗ hổng:
    • Lỗ hổng cho phép DLL độc hại được tải nếu được đặt cùng thư mục với thư viện hệ thống hợp pháp.
  2. Truy cập cấp kernel:
    • Các tội phạm sử dụng kỹ thuật Bring Your Own Vulnerable Driver (BYOVD) để cài đặt một driver dễ bị tổn thương.
  3. Tệp độc hại:
    • Tệp độc hại được xác định bằng các hash nhất định.

Tấn công Web Skimming

Tổng quan chiến dịch:
Một chiến dịch web-skimming tinh vi đã được phát hiện, khai thác API Stripe đã cũ để xác thực dữ liệu thẻ tín dụng bị đánh cắp.

Cơ chế lây nhiễm:

  1. Tiêm mã độc:
    • Tội phạm tiêm một script độc hại vào trang web của nạn nhân qua việc khai thác các lỗ hổng.
  2. Obfuscation và Giải mã:
    • Giai đoạn thứ hai sử dụng một script mã hóa base64 để giải quyết URL cho payload cuối cùng.
  3. Triển khai mã độc skimmer:
    • Giai đoạn cuối liên quan đến việc triển khai một skimmer giả mạo để đánh lừa người dùng nhập thông tin thanh toán.

Malware Screensaver Windows

Tổng quan chiến dịch:
Các nhà điều hành malware tiếp tục khai thác định dạng tệp Screensaver (.scr) để phân phối payload độc hại.

Cơ chế lây nhiễm:

  1. Email giả mạo:
    • Các email giả mạo mô phỏng thông báo vận chuyển, được viết bằng tiếng Trung, tham chiếu đến các thủ tục hải quan giả.
  2. Phân phối payload độc hại:
    • Các tệp đính kèm RAR chứa các tệp .scr độc hại.
  3. Thực thi ModiLoader:
    • ModiLoader tải về các payload thứ cấp khác nhau, cho phép tội phạm đánh cắp thông tin đăng nhập.

Chiến lược Giảm thiểu

Để đối phó với các mối đe dọa nâng cao này, các tổ chức cần triển khai các biện pháp bảo vệ đa lớp. Bao gồm:

  • Chặn các URL và payload độc hại.
  • Sử dụng dịch vụ đánh giá tệp để nâng cao an ninh.
  • Triển khai các phân tích mạnh mẽ để theo dõi các hoạt động không bình thường.
  • Áp dụng các biện pháp sandbox cho tệp đính kèm email.
  • Sử dụng các quy tắc phân tích tĩnh để phát hiện và chặn các tệp và script độc hại.

Bằng cách hiểu các chiến thuật này và thực hiện các biện pháp bảo vệ toàn diện, các tổ chức có thể bảo vệ tốt hơn khỏi các mối đe dọa mạng tinh vi.