Các cuộc tấn công lừa đảo không còn đơn giản như trước
Các chiến dịch phishing kiểu “tung lưới bắt đại” như scam hoàng tử Nigeria – vốn dễ nhận biết – nay đã tiến hóa thành các cuộc tấn công giả mạo email doanh nghiệp (BEC) tinh vi, nhắm mục tiêu cụ thể và đầy thuyết phục.
Ransomware cũng đã thay đổi đáng kể: từ các biến thể đơn giản chỉ khóa máy người dùng (và có thể phục hồi bằng bản sao lưu), đến ransomware ba tầng tống tiền (triple extortion) – khóa thiết bị, mã hóa dữ liệu, đe dọa công khai dữ liệu và cả tấn công DDoS.
Hai ví dụ trên cho thấy rõ trò chơi “mèo vờn chuột” ngày càng gay gắt giữa tin tặc và các chuyên gia bảo mật doanh nghiệp. Cứ mỗi khi doanh nghiệp cập nhật hệ thống phòng thủ mới, hacker lại tìm ra cách vượt qua. Rồi chuyên gia lại vá lỗ hổng, và vòng luẩn quẩn cứ tiếp diễn.
Một số tin nổi bật trong tuần
Scattered Spider thay đổi chiến thuật, tấn công các ngành lớn
Microsoft cho biết nhóm tin tặc Scattered Spider đã áp dụng các kỹ thuật tấn công mới kể từ tháng 4, nhắm vào các ngành hàng không, bảo hiểm và bán lẻ.
Ngoài việc tiếp tục dùng chiêu mạo danh người dùng để yêu cầu đặt lại mật khẩu, nhóm này còn khai thác dịch vụ SMS và sử dụng kỹ thuật “adversary-in-the-middle” (trung gian giả mạo trong luồng xác thực).
Đáng chú ý, Scattered Spider đã chuyển từ ưu tiên tấn công hệ thống cloud sang tấn công hạ tầng on-premises trước, sau đó mới mở rộng lên cloud.
(Xem chi tiết trên Cybersecurity Dive – Tác giả: David Jones)
Matanbuchus 3.0 – Trình tải mã độc cao cấp phục vụ ransomware
Các nhóm tội phạm mạng đang sử dụng Matanbuchus 3.0 – một trình tải mã độc (loader) cao cấp có giá thuê từ $10,000 đến $15,000/tháng – để triển khai các cuộc tấn công ransomware có giá trị cao.
Phiên bản 3.0 đã được viết lại hoàn toàn, với khả năng ẩn mình khỏi phát hiện, duy trì hiện diện trong hệ thống và nhận diện công cụ bảo mật. Kể từ tháng 9/2024, tin tặc đã giả danh nhân viên IT qua Microsoft Teams để lừa nạn nhân cấp quyền truy cập từ xa, thực thi script độc hại và triển khai ransomware.
Loader này còn quét hệ thống để tìm các công cụ EDR/XDR từ các nhà cung cấp lớn, và thực thi các hành vi độc hại ngay trong bộ nhớ nhằm tránh bị phát hiện.
(Xem chi tiết trên Dark Reading – Tác giả: Nate Nelson)
AsyncRAT – Mã độc mã nguồn mở thúc đẩy tội phạm mạng đại trà
Ra mắt trên GitHub từ 2019, AsyncRAT – một công cụ điều khiển từ xa mã nguồn mở – đã trở thành nền tảng cho hàng loạt biến thể phần mềm độc hại hiện đại.
Nghiên cứu từ ESET chỉ ra rằng mã nguồn C# của AsyncRAT đã sinh ra các mối đe dọa nguy hiểm như DCRAT, VenomRAT với khả năng mã hóa dữ liệu và né tránh phân tích, lẫn các biến thể kỳ quái như NonEuclid RAT – có plugin chứa hình ảnh “jump scare” để gây hoảng sợ người dùng.
AsyncRAT đặc biệt thu hút hacker nghiệp dư do dễ sử dụng và hạ tầng mã nguồn vẫn tồn tại vì được ngụy danh là “công cụ hợp pháp”.
