Điều gì vừa xảy ra? Văn phòng luật sư Hoa Kỳ, Quận trung tâm của California, gần đây đã thông báo về việc tịch thu tên miền web WorldWiredLabs và cơ sở hạ tầng hỗ trợ. Hoạt động được phối hợp giữa một số quốc gia và tổ chức thực thi pháp luật đã ngăn chặn việc phân phối trojan truy cập từ xa NetWire (RAT). Phần mềm độc hại này đã được ngụy trang và tiếp thị dưới dạng một công cụ quản trị hợp pháp được các tác nhân độc hại sử dụng để giành quyền truy cập trái phép vào các hệ thống được nhắm mục tiêu.
Nỗ lực thành công trong việc ngăn chặn RAT sau nhiều năm điều tra, quan sát và lập kế hoạch của các cơ quan thực thi pháp luật trên khắp thế giới. Chính quyền liên bang ở Los Angeles đã thực hiện lệnh tịch thu worldwiredlabs.com web, được sử dụng để bán và phân phối phần mềm độc hại NetWire. Ngoài việc thu giữ, cơ quan chức năng đã bắt giữ một Quốc gia Croatia người được xác định là quản trị viên của trang web. hiện bị thu giữ trang mạng cho thấy nỗ lực phối hợp giữa Hoa Kỳ, Croatia, Thụy Sĩ, Úc và các cơ quan có liên quan khác của Europol.
Bị bắt! phối hợp #thực thi pháp luật hành động ðÂÂð·ð¨ðÂÂð¦ðºðºð¸ đã gỡ xuống #Netwire Cơ sở hạ tầng Trojan truy cập từ xa.
�” Nghi phạm chính bị bắt.#Netwire là một RAT hàng hóa được cấp phép được cung cấp trong các diễn đàn ngầm cho những người dùng không có kỹ thuật để thực hiện các hoạt động tội phạm của riêng họ.
– EC3 (@EC3Europol) Ngày 10 tháng 3 năm 2023
Cuộc điều tra ban đầu của FBI bắt đầu vào năm 2020 khi các nhà điều tra mua một bản sao của phần mềm độc hại bị nghi ngờ và giao nó để phân tích thêm. Theo bảo đảmSau khi tóm tắt nguyên nhân có thể xảy ra, các nhà điều tra của FBI đã có thể truy cập thành công vào trang web, trả tiền cho một gói đăng ký và tải xuống gói NetWire RAT để sử dụng. Sau khi có được, một nhà khoa học máy tính của FBI đã sử dụng công cụ xây dựng của NetWire để định cấu hình một phiên bản nhằm kiểm tra khả năng của phần mềm độc hại đối với một máy kiểm tra được chỉ định. NetWire đã không cố gắng xác minh rằng những người phân tích phần mềm thực sự có quyền truy cập vào máy được nhắm mục tiêu.
Sau khi được định cấu hình, nhà khoa học máy tính của FBI xác nhận rằng phần mềm cho phép người dùng NetWire truy cập tệp, đóng ứng dụng, truy xuất thông tin xác thực, theo dõi lần nhấn phím, thực thi lệnh và chụp ảnh màn hình mà không cần thông báo cho người dùng mục tiêu. Những khả năng, hành vi và thiếu thông báo này, tất cả đều là dấu hiệu của một cuộc tấn công RAT truyền thống, tất cả đều được thiết kế để thu hút các tác nhân độc hại với ý định lợi dụng những người dùng không nghi ngờ khác.
Có một số cách mà các tổ chức và người dùng có thể giúp ngăn mình trở thành nạn nhân của RAT và các cuộc tấn công dựa trên kỹ thuật xã hội khác. Một bài viết trước đó từ INFOSEC phác thảo chi tiết cách thức hoạt động của NetWire và cung cấp các mẹo cho người dùng và tổ chức để tự bảo vệ mình trước các kiểu tấn công này. Bao gồm các:
- Đào tạo người dùng nhận thức được các sơ đồ lừa đảo tiềm ẩn và cách xử lý chúng
- Nhận biết các email từ những người gửi hoặc nguồn không quen thuộc và có các tệp đính kèm đáng ngờ
- Xác minh nguồn thông qua các phương tiện thay thế trước khi mở hoặc tải xuống nội dung
- Sử dụng phần mềm chống phần mềm độc hại, chống vi-rút hoặc phần mềm bảo vệ điểm cuối khác
- Luôn cập nhật tất cả các phần mềm và tệp hệ điều hành
Donald Alway, Trợ lý Giám đốc phụ trách Văn phòng Thực địa LA của FBI, nhấn mạnh tầm quan trọng của việc gỡ bỏ phần mềm độc hại NetWire. “Bằng cách loại bỏ NetWire RAT, FBI đã tác động đến hệ sinh thái mạng tội phạm.” Các tuyên bố của Alway cũng nhấn mạnh thực tế rằng “…mối quan hệ đối tác toàn cầu dẫn đến vụ bắt giữ ở Croatia cũng đã loại bỏ một công cụ phổ biến được sử dụng để chiếm quyền điều khiển máy tính nhằm duy trì hành vi gian lận toàn cầu, vi phạm dữ liệu và xâm nhập mạng của các nhóm đe dọa và tội phạm mạng.”