Hacker Nga sử dụng hệ thống định hướng lưu lượng truy cập độc hại để phát tán malware

Các chuyên gia đang nghi ngờ một giải pháp dịch vụ mua bán công cụ độc hại (CaaS) hoạt động theo mô hình subscription có liên quan đến một bản copy lậu của Cobalt Strike – công cụ đang được chào mời để giúp khách hàng phác thảo những hoạt động sau khi khai thác lỗ hổng.



Dịch vụ này được gọi là Prometheus và lần đầu tiên được đưa ra ánh sáng vào tháng 8 năm 2021 khi công ty an ninh mạng Group-IB tiết lộ chi tiết về các chiến dịch phân phối phần mềm độc hại do các nhóm tội phạm mạng thực hiện bao gồm Campo Loader, Hancitor, IcedID, QBot, Buer Loader, SocGholish ở Bỉ và Mỹ.



Với giá là 250 Đô một tháng, dịch vụ này được quảng cáo trên các diễn đàn ngầm của Nga như một hệ thống điều hướng lưu lượng truy cập (TDS) nhằm cho phép chuyển hướng phishing trên quy mô lớn đến các trang web giả mạo được thiết kế để phát tán malware trên các hệ thống mục tiêu.



Nhóm Nghiên cứu và Tình báo của BlackBerry cho biết trong một báo cáo được chia sẻ với The Hacker News rằng: “Prometheus có thể được coi là một dịch vụ / nền tảng toàn diện cho phép các nhóm hacker thực hiện các hoạt động phising hoặc phát tán của họ một cách dễ dàng. Các thành phần chính của Prometheus bao gồm một trang web chứa cơ sở hạ tầng độc hại, phân phối email độc hại, lưu trữ file bất hợp pháp thông qua các dịch vụ hợp pháp, chuyển hướng lưu lượng và phân phối các file độc hại.”



Thông thường, việc chuyển hướng được thực hiện từ một trong hai nguồn chính, cụ thể là với sự trợ giúp của các quảng cáo độc hại (malvertising) trên các trang web hợp pháp hoặc thông qua các trang web đã bị giả mạo để chèn các đoạn mã độc hại.



Trong trường hợp của Prometheus, chuỗi tấn công bắt đầu bằng một email spam có chứa file HTML hoặc một trang Google Docs mà sau khi tương tác sẽ chuyển hướng nạn nhân đến một trang web đã bị xâm nhập lưu trữ một cửa sau PHP – nơi nó sẽ quyết định liệu sẽ “phát tán malware nhắm vào nạn nhân hoặc chuyển họ đến một trang web khác có thể có chứa lừa đảo phising”.



Những hoạt động đầu tiên liên quan đến kẻ điều hành dịch vụ có biệt danh là “Ma1n” trên các diễn đàn hack được cho là đã bắt đầu từ tháng 10/2018. Tác giả được cho là có liên kết với các công cụ bất hợp pháp cung cấp các bộ chuyển hướng chất lượng cao và bộ PowerMTA, trước khi chào bán Prometheus TDS vào ngày 22/9/2020.



Đó không phải là tất cả. BlackBerry cũng đã phát hiện thấy có sự trùng hợp giữa các hoạt động liên quan đến Prometheus và một phiên bản bất hợp pháp của phần mềm mô phỏng mối đe dọa Cobalt Strike , làm dấy lên khả năng rằng bản sao này đang được “phổ biến bởi chính những kẻ điều hành Prometheus.”



Các chuyên gia cho biết: “Có khả năng rằng ai đó có liên quan tới Prometheus TDS đang duy trì bản sao lậu này và sẽ cung cấp nó khi có người mua. Cũng có thể bản cài đặt lậu này có thể được cung cấp như một phần của bản cài đặt playbook tiêu chuẩn (standard playbook) hoặc máy ảo (VM)”.



Suy đoán này có cơ sở cao bởi thực tế là một số nhóm hacker, bao gồm DarkCrystal RAT, FickerStealer , FIN7 , Qakbot và IceID, cũng như các băng đảng ransomware như REvil, Ryuk (Wizard Spider), BlackMatter và Cerber đã sử dụng bản crack lậu suốt hai năm qua.



Ngoài ra, Cobalt Strike Beacon cũng bị phát hiện có các hoạt động liên kết với một nhà môi giới truy cập ban đầu có biệt danh là Zebra2104 . Dich vụ của người này đã được các nhóm như StrongPity, MountLocker và Phobos sử dụng cho các chiến dịch của riêng họ.



Theo các nhà nghiên cứu: “Mặc dù TDS không phải là một khái niệm mới, tuy nhiên mức độ phức tạp, sự hỗ trợ và chi phí thấp đã làm tăng thêm cơ sở cho giả thuyết rằng đây là một xu hướng có khả năng gia tăng trong tương lai gần”.



“Số lượng các nhóm đang sử dụng các dịch vụ như Prometheus TDS cho thấy sự thành công và hiệu quả của các dịch vụ cho thuê cơ sở hạ tầng bất hợp pháp này. Về bản chất, chúng là các doanh nghiệp hoàn thiện hỗ trợ các hoạt động bất hợp pháp của các nhóm bất kể quy mô, cấp độ, nguồn lực hoặc động cơ.”



Theo Thehackernews
The post Hacker Nga sử dụng hệ thống định hướng lưu lượng truy cập độc hại để phát tán malware appeared first on SecurityDaily .