Tin tặc phát tán mã độc trên các máy chủ Microsoft Exchange chưa cài đặt bản vá

Một chiến dịch lừa đảo qua email mới đã được phát hiện vào giữa tháng 3 năm 2022, nhằm vào các tổ chức trong lĩnh vực năng lượng, chăm sóc sức khỏe, luật và dược phẩm. Phương thức tấn công của hacker là sử dụng kỹ thuật conversation hijacking (chiếm quyền điều khiển, luồng cuộc trò chuyện).

Trong đó, tin tặc triển khai phần mềm đánh cắp thông tin IcedID thông qua khai thác lỗi trên các máy chủ Microsoft Exchange có kết nối Internet chưa được cập nhật bản vá bảo mật.

Những trojan nhằm đanh cắp IcedID còn được gọi là BokBot giống với mã độc TrickBot và Emotet. BokBot mới này bản chất là banking trojan, được phát triển với nhiều tính năng nâng cao như một ransomware, nó được mô phỏng giống như công cụ Cobalt Strike tự đánh giá lỗ hổng và  kiểm thử thâm nhập.

Thông qua internet mã độc có khả năng kết nối với một máy chủ từ xa tải xuống các công cụ và mã độc hại cần thiết, cho phép hacker thực hiện các hoạt động sau khi thâm nhập và mở rộng phạm vi tấn công vào các mạng bị ảnh hưởng để phát tán thêm phần mềm độc hại.

Vào tháng 6 năm 2021, công ty Proofpoint đã tiết lộ một loại phần mềm độc hại tương tựi, trong đó tin tặc xâm nhập vào các mạng mục tiêu thông qua các phần mềm độc như IcedID để triển khai các ransomware Egregor, Maze và REvil.

Các chiến dịch phát tán IcedID trước đó sử dụng các biểu mẫu liên hệ trên trang web để gửi các liên kết có chứa phần mềm độc hại đến các tổ chức. Tuy nhiên, phiên bản gần đây của IcedID tấn công vào các máy chủ Microsoft Exchange tồn tại lỗ hổng để gửi các email được cá nhân hóa cho một tài khoản bị xâm nhập. Điều này cho thấy, tin tặc đã chuẩn bị khá kỹ lưỡng cho chiến dịch lừa đảo này.

Nhà nghiên cứu Joakim Kennedy và Ryan Robinson cho biết: "Thay vì sử dụng macro trong tệp tài liệu Office, tin tặc chèn mã độc vào tệp ISO sử dụng các tệp LNK và DLL. Việc sử dụng tệp ISO cho phép hacker vượt qua các cơ chế bảo vệ Mark-of-the-Web, dẫn đến thực thi phần mềm độc hại mà không có cảnh báo cho người dùng."

Công ty Intezer của Israel cho biết: “Kẻ tấn công sử dụng các thông tin thu thập được để gửi thư trả lời thay cho một email bị đánh cắp trước đó nhằm lừa người nhận mở tệp đính kèm. Với thủ đoạn tinh vi này nó làm tăng độ tin cậy của email lừa đảo và tăng tỷ lệ tấn công thành công."

Với các email bị đánh cắp, hacker sẽ gửi các thư trả lời có nội dung phù hợp để tăng tỷ lệ mở các tệp độc hại.

Việc gửi email lừa đảo dựa trên việc chiếm quyền điều khiển các cuộc trò chuyện là một kỹ thuật tấn công phi kỹ thuật khá hiệu quả, có thể làm tăng tỷ lệ lừa đảo thành công. Bằng cách sử dụng phương pháp này, email có vẻ hợp pháp hơn và được gửi tới người nhận một cách bình thường mà không gặp trở ngại nào từ các ứng dụng, chống spam, bảo mật.

Khuyến cáo: Người dùng nên cảnh giác với bất kỳ đường link hoặc tệp đính kèm nào nhận được ngay cả khi nó được gửi từ một nguồn tin cậy. Các tổ chức sử dụng máy chủ Exchange nên rà soát lại toàn bộ hệ thống của mình để chắc chắn các bản vá luôn được cập nhật đầy đủ.

Theo Tạp chí Điện tử

https://thehackernews.com/2022/03/hackers-hijack-email-reply-chains-on.html