Cuộc tấn công waterting hole kiểu mới sử dụng Adobe Flash Player Update giả mạo để phát tán mã độc
Các mối đe dọa an ninh hiện nay đang nhắm tới các lỗ hổng trong các thiết bị, giải pháp như VPN, tường lửa,… bị khai thác bởi các tác nhận khác nhau như các nhóm APT, các tổ chức tấn công Ransomware.
Mặc dù sự tập trung này là điều dễ hiểu, nhưng điều quan trọng là không được bỏ qua các phương thức tấn công truyền thống như email lừa đảo, trang web độc hại và social engineering vì chúng vẫn là công cụ hữu hiệu trong tay kẻ tấn công.
Một trang web của một phòng thí nghiệm nghiên cứu ở một trường đại học tại Nhật Bản đã bị tấn công vào năm 2023 thông qua một cuộc tấn công watering hole, có khả năng nhắm vào các nhà nghiên cứu và sinh viên. Điều này làm nổi bật tính dễ bị tấn công của các tổ chức nghiên cứu trước các mối đe dọa mạng và nhu cầu về các biện pháp bảo mật mạnh mẽ để bảo vệ dữ liệu nghiên cứu nhạy cảm.
Một cuộc tấn công lợi dụng một trang web bị tấn công để lừa người dùng tải xuống bản cập nhật Adobe Flash Player độc hại, được ngụy trang dưới dạng phần mềm hợp pháp, thực chất là phần mềm độc hại lây nhiễm vào hệ thống của người dùng khi được thực thi.
Cuộc tấn công watering hole sử dụng kỹ thuật social engineering để lừa người dùng tải xuống và thực thi phần mềm độc hại bằng cách lợi dụng một trang web hợp pháp mà họ thường xuyên truy cập, bỏ qua các phương pháp khai thác lỗ hổng truyền thống.
Phần mềm độc hại FlashUpdateInstall.exe ngụy trang thành thông báo cập nhật Adobe Flash Player thành công, có chức năng là cài đặt phần mềm độc hại chính là system32.dll, có khả năng thực hiện các hoạt động độc hại trên hệ thống bị nhiễm.
Theo JPCERT/CC, một tệp system32.dll đã sửa đổi, được đánh dấu 666666 bởi Cobalt Strike Beacon 4.5, đã được đưa vào tiến trình Explorer bằng Early Bird Injection.
Nó lợi dụng Cloudflare Workers cho các hoạt động C2 trong một cuộc tấn công watering hole, vì nhóm này cũng liên quan đến các hoạt động độc hại khác, cho thấy một chiến dịch rộng hơn.
Kẻ tấn công đã sử dụng một kỹ thuật tinh vi liên quan đến việc ngụy trang tên tệp, các tài liệu giả mạo và phần mềm độc hại với các tùy chọn có thể tùy chỉnh, bao gồm chế độ ẩn, vô hiệu hóa chống phân tích, lưu tài liệu, chèn vào tiến trình và thực thi tự động.
Phần mềm độc hại này sẽ đưa DLL vào các tiến trình, có khả năng tránh bị phát hiện, đồng thời cũng tắt các tiến trình chống virus cụ thể và sử dụng các kỹ thuật chống phân tích, chẳng hạn như kiểm tra mức sử dụng tài nguyên hệ thống và môi trường máy ảo.
Chi tiết về cấu hình beacon Cobalt Strike bị nghi ngờ, trong đó máy chủ giao tiếp với patient-flower-*.nifttymailcom.workers.dev bằng HTTPS và cổng 443.
Nó chèn mã độc thông qua tệp JavaScript đã tải xuống và sử dụng dllhost.exe làm tiến trình khởi tạo, trong đó cấu hình bao gồm user agent giả mạo và truy xuất các tài nguyên bổ sung từ máy chủ.
Tham khảo:
