Từ tháng 8 đến tháng 10 năm 2022, nhóm thông qua quảng cáo độc hại tấn công người dùng được gửi liên kết giả mạo mạo ứng dụng như Microsoft Teams, Zoom, Adobe Flash Player, AnyDesk hoặc LogMeln.
Nhóm sử dụng payload là BatLoader loại bỏ payload giai đoạn tiếp theo (thông qua các lệnh PowerShell), bao gồm ransomware Royal và Cobalt Strike Beacon. Ngoài ra, nhóm này còn sử dụng công cụ mã nguồn mở Nsudo để vô hiệu hóa các giải pháp diệt virus trên máy mục tiêu.
Vào tháng 9 năm 2022, nhóm này bắt đầu sử dụng các biểu mẫu liên hệ trên các trang web công khai giả dạng tổ chức tài chính quốc gia để gửi các trọng tải đánh cắp thông tin.
Khi người dùng phản hồi qua email, họ nhận được một thông báo chứa liên kết độc hại có chứa BatLoader, được lưu trữ trên kho GitHub và OneDrive. Bên cạnh các tệp có trình cài đặt, nhóm sử dụng các định dạng có tên Đĩa cứng ảo (VHD).
Vào cuối tháng 10, các chiến dịch quảng cáo độc hại DEV-0569 sử dụng Google Ads sẽ tồn tại cùng với lưu lượng truy cập web bình thường để tránh bị phát hiện.
DEV-0569 đang tận dụng các dịch vụ chính hãng như Google Ads, GitHub và OneDrive cũng như các công cụ như Keitaro để che giấu. Để ngăn chặn các cuộc tấn công như vậy, các tổ chức nên thiết lập các chính sách email nghiêm ngặt và triển khai các quy tắc luồng email để hạn chế dải IP và cấp độ tên miền được phép lưu hành trong tổ chức.
Theo khuyến cáo từ Trung tâm giám sát an ninh mạng quốc gia NCSC – Cục An toàn thông tin – Bộ TT&TT, với cảnh báo trên, các doanh nghiệp, tổ chức cần thường xuyên cập nhật thông tin. (như các chiến dịch tấn công của các nhóm APT, thông tin IoC kèm theo từng chiến dịch, các điểm yếu, lỗ hổng bị lợi dụng khai thác,…), kiểm tra trên các hệ thống thông tin để phát hiện, ngăn chặn và xử lý kịp thời.
