Công ty bảo mật doanh nghiệp Proofpoint (California) gọi tên chiến dịch là "Operation SpoofedScholars", do tổ chức gọi là TA453 thực hiện - một tin tặc có mối liên hệ đáng ngờ với Iran nhằm vào các tổ chức liên quan đến chính phủ, công nghệ quốc phòng, quân sự và ngoại giao. Nhóm tác chiến mạng của chính phủ Iran bị nghi ngờ thực hiện các nỗ lực tình báo thay cho Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC).
Các mục tiêu được xác định bao gồm các chuyên gia về các vấn đề Trung Đông từ các tổ chức tư vấn, giáo sư cấp cao từ các tổ chức học thuật nổi tiếng... Các nhà nghiên cứu cho biết "Chiến dịch cho thấy một bước phát triển mới và sự tinh vi trong các phương pháp tấn công của TA453."
Ở một diễn biến khác, nhóm tin tặc đóng giả là các học giả người Anh liên hệ với một nhóm nạn nhân được chọn lọc kỹ lưỡng. Qua đó, đánh lừa nạn nhân nhấp vào liên kết đăng ký tới một hội nghị trực tuyến được thiết kế để đánh cắp các thông tin xác thực từ Google, Microsoft, Facebook và Yahoo.
Để tạo ra sự tin tưởng, các thông tin xác thực được lưu trữ trên một trang web chính thức nhưng bị xâm phạm thuộc Trường Nghiên cứu Phương Đông và Châu Phi (SOAS) của Đại học London, sử dụng các trang thu thập thông tin xác thực được cá nhân hóa ngụy trang dưới dạng liên kết đăng ký sau đó được chuyển đến người nhận.
Trong một trường hợp, TA453 được cho là đã gửi một email thu thập thông tin xác thực đến một mục tiêu vào tài khoản email cá nhân của họ. Các nhà nghiên cứu cho biết: "TA453 đã làm tăng độ tin cậy của việc thu thập thông tin xác thực bằng cách mạo danh học giả để cung cấp các liên kết gây hại".
Các cuộc tấn công được cho là đã bắt đầu từ tháng 1/2021, trước khi nhóm chuyển đổi chiến thuật một cách tinh vi trong các chiêu trò lừa đảo qua email tiếp theo.
Đây không phải là lần đầu tiên tin tặc thực hiện các cuộc tấn công lừa đảo để đánh cắp thông tin xác thực. Đầu tháng 3/2021, Proofpoint đã trình bày chi tiết về một chiến dịch "BadBlood" nhắm mục tiêu vào các chuyên gia y tế cao cấp chuyên nghiên cứu về di truyền, thần kinh học và ung thư học ở Israel và Hoa Kỳ.
Các nhà nghiên cứu cho biết: “TA453 có được quyền truy cập bất hợp pháp vào một trang web thuộc một tổ chức học thuật đẳng cấp thế giới để tận dụng cơ sở hạ tầng bị xâm phạm để thu thập thông tin xác thực của các mục tiêu chủ đích, sử dụng cơ sở hạ tầng hợp pháp".
Người phát ngôn của SOAS cho biết: "Chúng tôi hiểu rằng tin tặc đã tạo tài khoản Gmail để mạo danh học giả và tạo một trang web giả để tìm cách thu thập dữ liệu từ những người mà chúng nhắm mục tiêu. Trang web giả này được đặt trên trang web của SOAS Radio - một đài phát thanh trực tuyến độc lập và sản xuất công ty có trụ sở tại SOAS. Trang web này tách biệt với trang web SOAS chính thức và không thuộc bất kỳ lĩnh vực học thuật nào của chúng tôi. Chúng tôi nghĩ rằng mục tiêu không phải là SOAS mà là các cá nhân bên ngoài. Các nhân viên học thuật tại SOAS tất nhiên không tham gia vào quá trình này, cũng như không có bất kỳ hành động hoặc tuyên bố nào của nhân viên SOAS dẫn đến việc họ bị giả mạo theo cách này. Không có ý kiến cho rằng bất kỳ nhân viên SOAS nào đã vi phạm an ninh mạng.
Liên quan đến việc tạo trang web giả, không có thông tin cá nhân nào được lấy từ SOAS và không có hệ thống dữ liệu nào của chúng tôi (ví dụ: hồ sơ nhân viên và học sinh, thông tin tài chính, email...) có liên quan hoặc bị ảnh hưởng bởi điều này. Khi chúng tôi phát hiện ra trang web giả vào đầu năm nay, chúng tôi đã ngay lập tức khắc phục và báo cáo các vi phạm".
Sự việc cho thấy, Nhóm tin tặc TA453 ngày càng thể hiện sự gia tăng mức độ tinh vi trong các chiến dịch tấn công như liên tục đổi mới và thu thập thông tin để hỗ trợ các ưu tiên thu thập của IRGC.
Thu Hà (Theo The Hacker News)
10:00 | 12/07/2021
09:00 | 23/08/2021
15:00 | 23/06/2021
16:00 | 16/08/2021
10:00 | 07/11/2023
13:00 | 28/05/2021
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
13:00 | 07/02/2024
Vừa qua, Trung tâm ứng cứu khẩn cấp máy tính Ukraine (CERT-UA) phát cảnh báo về việc hơn 2.000 máy tính ở nước này đã bị lây nhiễm một loại phần mềm độc hại có tên là DirtyMoe.
15:00 | 19/01/2024
Ngày 16/1, Google đã phát hành bản cập nhật để khắc phục bốn vấn đề bảo mật trong trình duyệt Chrome, trong đó có một lỗ hổng zero-day đã bị khai thác tích cực trong thực tế.
08:00 | 08/01/2024
Eagers Automotive - Tập đoàn bán lẻ ô tô hàng đầu ở Australia và New Zealand xác nhận một sự cố tấn công mạng, gây ảnh hưởng đến một số hệ thống công nghệ thông tin khiến tập đoàn này phải tạm dừng mọi hoạt động giao dịch để ngăn chặn rò rỉ thông tin vào ngày 28/12 vừa qua.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024