THÔNG TIN CÁC MỐI ĐE DỌA BẢO MẬT TRONG THÁNG 06 – 2022

Hàng tháng, Chúng tôi – GTSC tổng hợp lại các thông tin về bảo mật về APT, Malware, CVEs và gói gọn nó vào trong một bài tổng hợp.

  1. Financial.pakgov [.] net;
  2. vpn.pakgov [.] net;
  3. csd.pakgov [.] net;
  4. hajj.pakgov [.] net;
  5. nadra.pakgov [.] net;
  6. pt.pakgov [.] net;
  7. flix.pakgov [.] net;
  8. covid.pakgov [.] net.
  9. Sử dụng tài liệu Word được nhúng mã khai thác và lừa người dùng mở tài liệu để cài đặt backdoor.
  10. Lừa người dùng nhấp đúp vào phần mềm Anti-Virus giả để thực thi phần mềm độc hại trong máy chủ của nạn nhân.
  11. Giả mạo thiết bị di động để dụ người dùng mở nhầm thư mục và cài đặt phần mềm độc hại vào hệ thống của họ.
  12. Tệp shortcut giả mạo một thiết bị di động, chứa một đường dẫn để khởi chạy phần mềm độc hại.
  13. Khi người dùng nhấp vào thiết bị giả mạo, thiết bị sẽ thực thi “Evernote Tray Application” và sử dụng DLL hijacking để tải trình tải độc hại encrashrep.dll thông qua explorer.exe.
  14. Sau khi thực hiện trình tải, nó sẽ kiểm tra xem nó có nằm trong bất kỳ thiết bị di động đính kèm nào không.
  15. Nếu trình tải không có trong ổ đĩa di động, nó sẽ sao chép tất cả các mô-đun đến thư mục “%USERPROFILE%\AppData\Roaming\EverNoteService\”, bao gồm các tệp bình thường, trình tải backdoor và tải trọng backdoor được mã hóa.
  16. Phần mềm độc hại đặt chức năng tự động khởi động với giá trị “EverNoteTrayUService”. Khi người dùng khởi động lại máy tính, nó sẽ thực thi “Evernote Tray Application” và sử dụng DLL hijacking để tải trình tải độc hại.
  17. Trình tải sẽ kiểm tra đường dẫn tệp trước tiên và giải mã các tải trọng. Có hai tải trọng trong chuỗi tấn công này:
  18. Tải trọng đầu tiên là bộ phát tán, sao chép tất cả các tệp độc hại sang các thiết bị di động.
  19. Tải trọng thứ hai là một backdoor được mã hóa và đưa vào bộ nhớ của tiến trình rundll32. 

Nguồn: gteltsc.vn

Trả lời

Email của bạn sẽ không được hiển thị công khai. Các trường bắt buộc được đánh dấu *