Chỉ trong vài tháng trở lại đây, an ninh mạng của Mỹ đã bị ảnh hưởng nghiêm trọng vì liên tiếp phải hứng chịu các đợt tấn công của mã độc tống tiền (ransomware). Tin tặc đang cố gắng tận dụng cuộc khủng hoảng tấn công tống tiền công ty Kaseya để tấn công vào các nạn nhân tiềm năng, trong một chiến dịch thư rác đính kèm mã độc Cobalt Strike được ngụy trang thành các bản cập nhật bảo mật Kaseya VSA.
Cobalt Strike là một công cụ kiểm tra thâm nhập hợp pháp và phần mềm mô phỏng mối đe dọa. Tin tặc thường sử dụng cho các nhiệm vụ sau khai thác và triển khai beacon cho phép chúng truy cập từ xa vào các hệ thống bị xâm phạm. Mục tiêu cuối cùng của các cuộc tấn công như vậy là thu thập và trích xuất dữ liệu nhạy cảm hoặc triển khai một phần mềm độc hại ở giai đoạn tiếp theo.
Email spam bao gồm các tệp đính kèm và liên kết độc hại
Các nhà nghiên cứu tại Malwarebytes Threat Intelligence đã phát hiện ra chiến dịch thư rác sử dụng hai chiến thuật khác nhau để phát tán Cobalt Strike.
Các email độc hại được gửi trong chiến dịch này gắn với tệp đính kèm độc hại và một liên kết nhúng được thiết kế trông giống như một bản vá của Microsoft cho Kaseya VSA zero-day bị khai thác trong cuộc tấn công ransomware REvil. Qua đó, tin tặc có được quyền truy cập từ xa vào hệ thống mục tiêu sau khi người dùng chạy tệp đính kèm độc hại hoặc tải xuống và khởi chạy bản cập nhật Microsoft giả mạo trên thiết bị của mình.
Thư giả mạo được gửi tới nạn nhân
Kaseya cho biết họ không thể triển khai bản cập nhật bản vá cho VSA zero-day do REvil khai thác, nhiều khách hàng của Kaseya có thể mắc bẫy trong chiến dịch lừa đảo này.
Vụ tấn công vào Colonial Pipeline cũng bị lợi dụng để phát tán mã độc
Trước đó vào tháng 6/2021, tin tặc cũng đã sử dụng các bản cập nhật hệ thống giả mạo, tuyên bố giúp phát hiện và chặn việc lây nhiễm ransomware sau cuộc tấn công Colonial Pipeline. Cũng giống như chiến dịch malspam, chiến dịch lừa đảo này cũng sử dụng các phần mềm độc hại được thiết kế để triển khai công cụ kiểm tra thâm nhập Cobalt Strike.
Các nhà nghiên cứu của INKY đã phát hiện ra các cuộc tấn công cho biết, các email lừa đảo đi kèm với thời hạn cài đặt các bản cập nhật giả mạo để tăng thêm tính cấp bách. Các trang tải xuống payload cũng được tùy chỉnh bằng cách sử dụng giao diện giống với của công ty mục tiêu để làm cho chúng có vẻ đáng tin cậy.
Hai chiến dịch này nhấn mạnh rằng các tác nhân đe dọa trong hoạt động kinh doanh lừa đảo theo dõi các tin tức mới nhất để thúc đẩy các chiêu dụ có liên quan đến các sự kiện gần đây nhằm tăng tỷ lệ thành công cho các chiến dịch của mình.
Còn nhiều những chiến dịch lừa đạo trong tương lai
Việc lợi dụng các nạn nhân đang trong tình trạng hoảng loạn trước các cuộc tấn công lớn đang tăng lên trong thời gian gần đây. Các công ty, tổ chức và cá nhân cẩn cẩn trọng trước các thông tin liên quan đến các cuộc tấn công này. Điều quan trọng nhất là luôn duy trì các hệ thống, chính sách bảo mật chống lại các email lừa đảo và có đính kèm mã độc.