Nhóm tấn công DEV0569 thay đổi chiến thuật, sử dụng Google Ads để phát tán phần mềm độc hại

Từ tháng 8 đến tháng 10 năm 2022, nhóm thông qua các cuộc tấn công quảng cáo độc hại, người dùng được gửi liên kết giả mạo mạo danh các ứng dụng như Microsoft Teams, Zoom, Adobe Flash Player, AnyDesk hoặc LogMeln.

Nhóm sử dụng payload là BatLoader, loại bỏ payload giai đoạn tiếp theo (thông qua các lệnh PowerShell), bao gồm phần mềm tống tiền Royal và Cobalt Strike Beacon. Bên cạnh đó nhóm cũng sử dụng công cụ nguồn mở Nsudo để vô hiệu hóa các giải pháp chống virus trên máy được nhằm mục tiêu.

Tháng 9 năm 2022, nhóm bắt đầu sử dụng các biểu mẫu liên hệ trên các trang web công cộng giả mạo cơ quan tài chính quốc gia để gửi payload đánh cắp thông tin.

Khi người dùng phản hồi qua email, họ đã nhận được một tin nhắn chứa liên kết độc hại có chứa BatLoader, được lưu trữ trên kho GitHub và OneDrive. Bên cạnh các tệp có trình cài đặt, nhóm sử dụng các định dạng tên Virtual Hard Disk (VHD).

Cuối tháng 10, các chiến dịch quảng cáo độc hại DEV-0569 sử dụng Google Ads, sẽ tồn tại cùng với lưu lượng truy cập web bình thường để tránh bị phát hiện.

DEV-0569 đang lợi dụng các dịch vụ chính hãng như Google Ads, GitHub và OneDrive cũng như các công cụ như Keitaro để ẩn mình. Để phòng tránh các cuộc tấn công như vậy, các tổ chức nên thiết lập chính sách email nghiêm ngặt và triển khai các quy tắc luồng email để hạn chế dải IP và cấp độ tên miền được phép lưu hành trong tổ chức.

Theo khuyến cáo từ Trung tâm Giám sát an toàn không gian mạng quốc gia NCSC - Cục An toàn thông tin - thuộc Bộ Thông tin và Truyền thông, với cảnh báo nêu trên, các doanh nghiệp, tổ chức cần thường xuyên cập nhật thông tin (như các chiến dịch tấn công của các nhóm APT, thông tin IoC kèm theo từng chiến dịch, điểm yếu lỗ hổng đang bị lợi dụng để khai thác,…), rà soát trên các hệ thống thống thông tin để phát hiện và ngăn chặn, xử lý kịp thời.