Công ty phần mềm bảo mật Kaspersky đã theo dõi và phát hiện hơn 10 nghìn cuộc tấn công mạng nhằm vào các tổ chức, doanh nghiệp thuộc các khu vực khác nhau, nằm trong một chiến dịch sử dụng nhiều loại phần mềm độc hại khác nhau, với động cơ trục lợi tài chính.
Các nhà nghiên cứu Kaspersky phát hiện ra rằng những kẻ tấn công không chỉ sử dụng các backdoor, keylogger và công cụ khai thác, mà còn lợi dụng cả các tập lệnh tác vụ độc hại mới nhằm vô hiệu hóa các tính năng bảo mật và giúp tải xuống phần mềm gây hại dễ dàng hơn.
Chiến dịch tấn công này đã được tin tặc tiến hành suốt trong khoảng thời gian từ tháng 5 – 10/2023. Theo dữ liệu của Kaspersky, các tổ chức được nhắm đến chủ yếu là các cơ quan chính phủ, doanh nghiệp và tổ chức thương mại của Nga, Arab Saudi, Việt Nam, Brazil và Romania. Các sự cố tương tự cũng được phát hiện ở Mỹ, Ấn Độ, Maroc và Hy Lạp.
Tin tặc đã khai thác các lỗ hổng trên các máy chủ và máy trạm để xâm nhập hệ thống. Sau đó, chúng khởi chạy các tập lệnh độc hại để có thể vượt qua tường lửa Microsoft Defender, bổ sung quyền và vô hiệu hóa các phần mềm chống virus. Nếu thành công, tin tặc sẽ tiến hành tải xuống backdoor, keylogger và trình tạo từ các website không thể truy cập được.
Thông qua trình tạo, tin tặc sẽ lợi dụng tài nguyên của các hệ thống bị xâm nhập để khai thác các loại tiền điện tử khác nhau, chẳng hạn như Monero (XMR). Trong khi đó, keylogger sẽ ghi lại những phím mà người dùng nhấn trên bàn phím và chuột, đồng thời backdoor sẽ thiết lập kết nối với máy chủ, ra lệnh và điều khiển (C2) để nhận và truyền dữ liệu. Điều này cho phép tin tặc có thể giành quyền kiểm soát hệ thống bị xâm nhập từ xa.
Các chuyên gia của Kaspersky lưu ý rằng chiến dịch tấn công này nguy hiểm ở chỗ tin tặc đang sử dụng kết hợp cùng lúc nhiều phần mềm độc hại khác nhau, đông thời cũng không ngừng phát triển thêm các phiên bản mới của công cụ tấn công mạng.
Rõ ràng, tin tặc đang nỗ lực tìm cách trục lợi bằng mọi cách có thể. Ngoài việc khai thác tiền điện tử, chúng có thể đánh cắp thông tin xác thực của người dùng và bán chúng trên Darknet (mạng ẩn), hoặc tiến hành các đòn tấn công nghiêm trọng hơn bằng cách lợi dụng backdoor đã được tạo ra.
(theo Securitylab)