Các nhóm tin tặc lợi dụng Bit.ly, BlogSpot, Pastebin để phát tán Trojans và các biến thể mã độc

Một chiến dịch phát tán mã độc nhắm mục tiêu vào các tập đoàn lớn ở khắp nơi trên thế giới đang sử dụng kết hợp các dịch vụ lưu trữ bao gồm Bit.ly, BlogSpot và Pastebin để phát tán phần mềm độc hại Azorult và mã độc RevengeRAT.

Các nhóm tin tặc lợi dụng Bit.ly, BlogSpot, Pastebin để phát tán Trojans và các biến thể mã độc - CyberSec365.org

Cụ thể, chiến dịch tấn công này được đặt tên là MasterMana bởi các nhà nghiên cứu bảo mật thuộc hãng bảo mật Prevailion, sử dụng các dịch vụ Bit.ly, BlogSpot và Pastebin như một hệ thống máy chủ điều khiển và kiểm soát (C&C) nhằm ẩn thân khỏi các biện pháp bảo mật.

Dựa trên chiến thuật, kỹ thuật và quy trình (tactics, techniques, procedures - TTP) được sử dụng, các nhà nghiên cứu bảo mật cho rằng cuộc tấn công này có liên quan đến nhóm tin tặc Gorgon - nhóm tin tặc nổi tiếng đã hoạt động được nhiều năm và thực hiện nhiều chiến dịch phát tán mã độc.

Theo Palo Alto Networks Unit 42, nhóm tin tặc Gorgon Group (hay còn gọi là Subaat) là nhóm tin tặc có nguồn gốc từ Pakistan, được nhà nước bảo trợ và đã hoạt động từ ít nhất 2017.

Nhóm tin tặc này còn được biết đến là nhóm đứng đằng sau các cuộc tấn công gián điệp và tội phạm mạng khác nhau, bao gồm nhưng không giới hạn trong các chiến dịch nhắm vào các chính phủ ở Hoa Kỳ, Châu Âu và Châu Á.

Các nhóm tin tặc lợi dụng Bit.ly, BlogSpot, Pastebin để phát tán Trojans và các biến thể mã độc - CyberSec365.org

Sử dụng cơ sở hạ tầng bên thứ 3 để phát tán mã độc

Trong báo cáo của Prevailion, chiến dịch tấn công MasterMana đã được khởi động từ đầu tháng 12/2018 cho mục đích tài chính. Trong suốt chiến dịch này, tin tặc nhắm mục tiêu trực tiếp vào các doanh nghiệp nhằm đánh cắp các thông tin liên quan đến ví điện tử của người dùng.

Trong chiến dịch phát tán mã độc này, tin tặc sẽ gởi đến nạn nhân một email đính kèm một tệp tài liệu Microsoft Excel. Khi nạn nhân mở tệp đính kèm, một tải trọng VBS sẽ tự động kích hoạt và khởi chạy.

Các nhóm tin tặc lợi dụng Bit.ly, BlogSpot, Pastebin để phát tán Trojans và các biến thể mã độc - CyberSec365.org

Ngay sau khi khởi chạy, tải trọng VBS sẽ mở một trang BlogSpot đang chạy tiện ích Mshta (Máy chủ ứng dụng Microsoft HTML) để tiếp tục mở một tải trọng mới được lưu trữ trên Pastebin. Tải trọng mới này được thiết kế để tắt mọi tiến trình Word, Excel, Powerpoint, và Publisher đang chạy trên máy tính nạn nhân và thiết lập các scheduled tasks cũng như thay đổi các khóa registry.

Trong một số trường hợp, tải trọng này còn được đính kèm mã độc RevengeRAT (RAT), một mã độc truy cập từ xa trái phép, giúp tin tặc khởi chạy, quản lý hệ thống, quy trình và dịch vụ trên thiết bị nạn nhân từ xa, chỉnh sửa các bản ghi Windows Registry, ghi lại thao tác nhập liệu bàn phím, thu thập mật khẩu người dùng và truy cập webcam,....

Trong một số trường hợp khác, tải trọng này tải xuống Azorult Trojan đánh cắp dữ liệu, một loại phần mềm độc hại được thiết kế để lọc ra càng nhiều thông tin nhạy cảm càng tốt, từ thông tin ngân hàng và ví tiền điện tử đến các tệp, mật khẩu, cookie và lịch sử trình duyệt.

Các nhóm tin tặc lợi dụng Bit.ly, BlogSpot, Pastebin để phát tán Trojans và các biến thể mã độc - CyberSec365.org

Một chiến dịch phát tán mã độc tương tự cũng được các nhà nghiên cứu bảo mật thuộc Palo Alto Networks' Unit 42 đặt tên là "Aggah" phát hiện vào tháng 3/2019, cũng đã được quan sát thấy trong khi lạm dụng Bit.ly, BlogSpot và Pastebin để phân phối phần mềm độc hại.

Mặc dù một số kỹ thuật tấn công được sử dụng trong chiến dịch đó giống với các kỹ thuật được sử dụng bởi nhóm tin tặc Gorgon, các nhà nghiên cứu của Palo Alto Networks cho biết vào thời điểm đó không có "bằng chứng cụ thể nào cho thấy chiến dịch tấn công này có liên quan đến Gorgon".

Đại Phát (Theo bleepingcomputer)