Charming Kitten, một nhóm APT do nhà nước Iran tài trợ, đang tích cực nhắm mục tiêu vào nhiều nạn nhân tại Hoa Kỳ, Châu Âu, Trung Đông và Ấn Độ với một phần mềm độc hại mới có tên là BellaCiao. Phần mềm này được phát hiện bởi Bitdefender Labs và là một “dropper cá nhân hóa” có khả năng gửi các tải trọng phần mềm độc hại khác lên máy tính nạn nhân dựa trên các lệnh nhận từ máy chủ do diễn viên điều khiển. Microsoft đã cho rằng những cuộc tấn công đáp trả chống lại các thực thể cơ sở hạ tầng quan trọng tại Hoa Kỳ là do nhóm tác nhân đe dọa này thực hiện. Check Point cũng đã tiết lộ việc nhóm sử dụng phiên bản cập nhật của PowerLess implant để nhắm mục tiêu vào các tổ chức tại Israel.
BellaCiao đáng chú ý vì thực hiện một yêu cầu DNS mỗi 24 giờ để giải quyết một tên miền phụ thành địa chỉ IP, sau đó phân tích để trích xuất các lệnh để thực thi trên hệ thống bị xâm phạm. Tùy thuộc vào địa chỉ IP đã giải quyết, chuỗi tấn công dẫn đến việc triển khai một web shell, hoặc công cụ Plink, hỗ trợ khả năng tải lên và tải xuống các tệp tùy ý cũng như thực hiện các lệnh. Các cuộc tấn công được đánh giá là ở giai đoạn thứ hai sau các cuộc tấn công cơ hội, trong đó BellaCiao được tùy chỉnh và triển khai chống lại các nạn nhân được chọn lọc cẩn thận. Để bảo vệ chống lại các cuộc tấn công hiện đại, Bitdefender khuyến nghị triển khai một kiến trúc phòng thủ đa tầng, bắt đầu bằng việc giảm bề mặt tấn công và vá các lỗ hổng mới phát hiện kịp thời.
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.
Source: Hackernews