Chiến dịch tấn công Zero-day - mối đe dọa đối với các nhà giao dịch tài chính

Lỗ hổng này là một phần trong các cuộc tấn công zero-day phức tạp của nhóm APT WaterHydra (còn được biết đến với biệt danh DarkCasino). Mục tiêu của các cuộc tấn công này là các nhà giao dịch trên thị trường tài chính. Trend Micro đã cảnh báo về lỗ hổng này để Microsoft có thể vá lỗi kịp thời. Các hoạt động của

nhóm WaterHydra đã được theo dõi từ cuối tháng 12/2023 khi nhóm này sử dụng các công cụ, chiến thuật và thủ thuật liên quan đến việc khai thác các đường dẫn tắt trên internet (.URL) và thành phần WebDAV.

Trong chiến dịch tấn công, lỗ hổng CVE2024-21412 đã bị khai thác để bypass Microsoft Defender SmartScreen và triển khai mã độc DarkMe lên các thiết bị của người dùng. Hiện lỗ hổng này đã được khắc phục trong bản vá mới nhất của Microsoft. Nhóm APT WaterHydra bắt đầu hoạt động kể từ năm 2021 với mục tiêu chính là ngành tài chính.

Đáng chú ý, nhóm này đã trước đó đã khai thác thành công lỗ hổng CVE-2023-38831 trên WinRAR, cho thấy trình độ kỹ thuật cao của họ. Trong chiến dịch này, WaterHydra đã sử dụng các kỹ thuật phức tạp để thao túng người dùng, đặc biệt là thông qua các chiến dịch spear-phishing trên các sàn giao dịch ngoại hối và các diễn đàn giao dịch chứng khoán.

WaterHydra đã tận dụng từ khóa "search:protocol" để thay đổi cách Windows Explorer hiển thị và đánh lừa người dùng mở các tập tin đường dẫn tắt Internet độc hại. Khi tiến hành phân tích chi tiết, đã xác định được rằng nhóm WaterHydra khai thác lỗ hổng

CVE-2024-21412 để bypass Microsoft Defender SmarScreen, thông qua việc sử dụng các đường dẫn tắt internet.

Qua đó, nhóm này đã vượt qua biện pháp bảo mật và thực thi payload độc hại như mã độc DarkMe. Phương thức hoạt động này của WaterHydra đã khiến mối đe dọa zero-day trong lĩnh vực an ninh mạng trở nên nghiêm trọng hơn.