Nhóm Ransomware Cuba lạm dụng Microsoft

[ad_1]

Cài Win online

Ít hơn hai vài tuần trước, Cơ quan An ninh Cơ sở hạ tầng & An ninh mạng Hoa Kỳ và FBI đã đưa ra một lời khuyên chung về mối đe dọa tấn công bằng mã độc tống tiền từ một băng đảng tự xưng là “Cuba”. Trên thực tế, nhóm mà các nhà nghiên cứu tin rằng có trụ sở tại Nga, đã nổi cơn thịnh nộ trong năm qua nhắm vào ngày càng nhiều doanh nghiệp và các tổ chức khác ở Mỹ và nước ngoài. Nghiên cứu mới được công bố hôm nay chỉ ra rằng Cuba đã và đang sử dụng các phần mềm độc hại trong các cuộc tấn công đã được Microsoft chứng nhận hoặc đóng dấu phê duyệt.

Cuba đã sử dụng các “trình điều khiển” được ký bằng mật mã này sau khi xâm phạm hệ thống của mục tiêu như một phần trong nỗ lực vô hiệu hóa các công cụ quét bảo mật và thay đổi cài đặt. Hoạt động này nhằm mục đích bay dưới radar, nhưng nó đã bị đánh dấu bởi các công cụ giám sát từ công ty bảo mật Sophos. Các nhà nghiên cứu từ Đơn vị 42 của Palo Alto Networks trước đây đã quan sát thấy Cuba ký một phần mềm đặc quyền được gọi là “trình điều khiển hạt nhân” với chứng chỉ NVIDIA đã bị rò rỉ vào đầu năm nay bởi nhóm hack Lapsus$. Và Sophos cho biết họ cũng đã thấy nhóm sử dụng chiến lược này với các chứng chỉ bị xâm phạm từ ít nhất một công ty công nghệ Trung Quốc khác, công ty bảo mật Mandiant được xác định là Zhuhai Liancheng Technology Co.

“Microsoft gần đây đã được thông báo rằng các trình điều khiển được chứng nhận bởi Chương trình Nhà phát triển Phần cứng Windows của Microsoft đang được sử dụng một cách độc hại trong hoạt động hậu khai thác,” công ty cho biết trong một tư vấn bảo mật hôm nay. “Một số tài khoản nhà phát triển cho Trung tâm đối tác của Microsoft đã tham gia gửi trình điều khiển độc hại để lấy chữ ký của Microsoft… Các trình điều khiển độc hại đã ký có khả năng được sử dụng để tạo điều kiện thuận lợi cho hoạt động xâm nhập sau khai thác, chẳng hạn như triển khai ransomware.”

Sophos đã thông báo cho Microsoft về hoạt động này vào ngày 19 tháng 10 cùng với Mandiant và công ty bảo mật SentinelOne. Microsoft cho biết họ đã đình chỉ các tài khoản Trung tâm đối tác đang bị lạm dụng, thu hồi các chứng chỉ giả mạo và phát hành các bản cập nhật bảo mật cho Windows liên quan đến tình huống này. Công ty cho biết thêm rằng họ chưa xác định được bất kỳ sự xâm phạm nào đối với hệ thống của mình ngoài việc lạm dụng tài khoản đối tác.

Microsoft đã từ chối yêu cầu bình luận của WIRED ngoài lời khuyên.

Christopher Budd, giám đốc nghiên cứu mối đe dọa tại Sophos cho biết: “Những kẻ tấn công này, rất có thể là chi nhánh của nhóm mã độc tống tiền Cuba, biết chúng đang làm gì—và chúng rất kiên trì. Chúng tôi đã tìm thấy tổng cộng 10 trình điều khiển độc hại. tất cả các biến thể của khám phá ban đầu. Những trình điều khiển này cho thấy nỗ lực phối hợp để nâng cao chuỗi tin cậy, ít nhất là bắt đầu từ tháng 7 vừa qua. Việc tạo trình điều khiển độc hại từ đầu và được cơ quan hợp pháp ký duyệt là điều khó khăn. Tuy nhiên, nó cực kỳ hiệu quả, bởi vì trình điều khiển về cơ bản có thể thực hiện bất kỳ quy trình nào mà không có câu hỏi nào.”

Việc ký phần mềm mật mã là một cơ chế xác thực quan trọng nhằm đảm bảo rằng phần mềm đã được một bên đáng tin cậy hoặc “cơ quan chứng nhận” kiểm tra và xác nhận. Tuy nhiên, những kẻ tấn công luôn tìm kiếm các điểm yếu trong cơ sở hạ tầng này, nơi chúng có thể thỏa hiệp các chứng chỉ hoặc phá hoại và lạm dụng quy trình ký để hợp pháp hóa phần mềm độc hại của chúng.

“Mandiant trước đây đã quan sát thấy các kịch bản khi người ta nghi ngờ rằng các nhóm sử dụng một dịch vụ tội phạm thông thường để ký mã,” công ty đã viết trong một báo cáo được công bố hôm nay. “Việc sử dụng các chứng chỉ ký mã bị đánh cắp hoặc lấy một cách gian lận bởi các tác nhân đe dọa là một chiến thuật phổ biến và việc cung cấp các chứng chỉ hoặc dịch vụ ký này đã chứng tỏ một thị trường sinh lợi trong nền kinh tế ngầm.”

Đầu tháng này, Google đã công bố phát hiện rằng một số “chứng chỉ nền tảng” bị xâm nhập do các nhà sản xuất thiết bị Android bao gồm Samsung và LG quản lý đã được sử dụng để ký các ứng dụng Android độc hại được phân phối thông qua các kênh của bên thứ ba. Có vẻ như ít nhất một số chứng chỉ bị xâm phạm đã được sử dụng để ký các thành phần của công cụ truy cập từ xa Manuscrypt. FBI và CISA trước đây đã quy kết hoạt động liên quan đến dòng phần mềm độc hại Manuscrypt cho các tin tặc do nhà nước Bắc Triều Tiên hậu thuẫn nhắm vào các nền tảng và sàn giao dịch tiền điện tử.

“Vào năm 2022, chúng ta đã chứng kiến ​​những kẻ tấn công ransomware ngày càng cố gắng vượt qua các sản phẩm phát hiện và phản hồi điểm cuối của nhiều nhà cung cấp lớn, nếu không muốn nói là hầu hết,” Sophos’ Budd nói. “Cộng đồng bảo mật cần nhận thức được mối đe dọa này để họ có thể thực hiện các biện pháp bảo mật bổ sung. Hơn nữa, chúng ta có thể thấy những kẻ tấn công khác cố gắng bắt chước kiểu tấn công này.”

Với rất nhiều chứng chỉ bị xâm phạm, có vẻ như nhiều kẻ tấn công đã nhận được thông báo về việc chuyển sang chiến lược này.

cài đặt phần mềm online
[ad_2]