Tin tặc đang sử dụng các chiến thuật tấn công phi kỹ thuật (social engineering) nâng cao để cố gắng đưa các tệp .DLL cũ, bị lỗi vào máy tính của người dùng, từ đó cho phép chúng cài đặt phần mềm độc hại cửa sau (backdoor malware).
Một báo cáo mới từ các nhà nghiên cứu an ninh mạng Trend Micro cho biết cuộc tấn công mới bắt đầu trên Microsoft Teams, nơi những kẻ lừa đảo đã mạo danh để tiếp cận nạn nhân và lừa họ cung cấp một bộ thông tin xác thực nhất định. Thông qua Quick Assist hoặc các công cụ máy tính từ xa tương tự, chúng có được quyền truy cập vào các thiết bị, nơi chúng tải (sideload) các tệp .DLL bị lỗi bằng OneDriveStandaloneUpdater.exe, một công cụ cập nhật OneDrive hợp pháp.
Các tệp .DLL này sau đó cho phép chúng thả BackConnect, một loại công cụ truy cập từ xa (RAT) thiết lập kết nối ngược từ thiết bị bị nhiễm đến máy chủ của kẻ tấn công, vượt qua các hạn chế của tường lửa. Điều này cho phép kẻ tấn công duy trì quyền truy cập liên tục, thực thi các lệnh và lấy cắp dữ liệu trong khi trốn tránh các biện pháp bảo mật truyền thống. BackConnect dường như được lưu trữ và phân phối bằng các công cụ lưu trữ đám mây thương mại.
Trend Micro cho biết các cuộc tấn công bắt đầu vào tháng 10 năm 2024 và chủ yếu tập trung vào Bắc Mỹ, nơi họ quan sát thấy 21 vụ xâm nhập – 17 ở Mỹ, 5 ở Canada và Vương quốc Anh, và 18 ở châu Âu. Các nhà nghiên cứu không cho biết liệu các cuộc tấn công có thành công hay không, hoặc chúng nhắm mục tiêu vào ngành công nghiệp nào nhiều nhất.
Vì hầu hết các công cụ được sử dụng trong chiến dịch này là hợp pháp (Teams, OneDriveStandaloneUpdater, Quick Assist), các dịch vụ chống vi-rút hoặc bảo vệ phần mềm độc hại truyền thống sẽ không đủ. Thay vào đó, các doanh nghiệp phải giáo dục nhân viên của mình để phát hiện các cuộc tấn công phi kỹ thuật và báo cáo chúng một cách kịp thời. Các doanh nghiệp cũng có thể thực thi việc sử dụng xác thực đa yếu tố (MFA) và hạn chế quyền truy cập vào các công cụ máy tính từ xa.
Cuối cùng, họ nên kiểm tra cấu hình lưu trữ đám mây để ngăn chặn truy cập trái phép và theo dõi lưu lượng mạng để tìm các kết nối đáng ngờ, đặc biệt là những kết nối đến các máy chủ C2 độc hại đã biết.
Be the first to comment