Theo Cơ quan Bảo vệ thông tin và Truyền thông đặc biệt (SSSCIP) của Ukraine cho biết: “Các tin tặc đã gửi những đoạn tin nhắn có liên kết độc hại đến trang web Telegram để truy cập trái phép thông tin tài khoản người dùng”.
Những cuộc tấn công này được xác định đến từ nhóm UAC-0094, bắt nguồn bởi các tin nhắn Telegram cảnh báo người nhận rằng tài khoản của họ đăng nhập trên một thiết bị ở Nga và thông báo người dùng xác nhận tài khoản bằng cách chọn vào một liên kết.
Trên thực tế, liên kết này là một URL lừa đảo, nhắc nạn nhân nhập số điện thoại cũng như mật khẩu gửi một lần qua tin nhắn SMS, sau đó tin tặc sẽ sử dụng những thông tin này để chiếm đoạt tài khoản.
Thông báo lừa đảo yêu cầu nhập số điện thoại và mật khẩu qua SMS để xác nhận tài khoản
Các chuyên gia bảo mật khuyến nghị người dùng không nên nhấp vào các liên kết đáng ngờ và chưa xác định, đảm bảo thiết lập mật khẩu bổ sung để xác minh hai bước trong Telegram (cùng với mã được gửi qua SMS).
Phương thức tấn công này phản ánh một cuộc tấn công lừa đảo trước đó đã được phát hiện vào đầu tháng 3/2022, khi các tin tặc lợi dụng các tài khoản đã bị xâm phạm tại Ấn Độ, để gửi email lừa đảo đến người dùng Ukr.net và thực hiện đánh cắp thông tin tài khoản cá nhân.
Trong một cuộc tấn công kỹ nghệ xã hội khác được Nhóm Ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) phát hiện, các email liên quan đến cuộc xung đột đã được gửi đến một số cơ quan chính phủ Ukraine để triển khai một loại mã độc gián điệp.
Cụ thể, một số lượng email được gửi từ địa chỉ “vadim_melnik88@i.Ua”, kết hợp với tệp đính kèm HTML mà theo CERT-UA cho biết tại thời điểm này, nhiều chương trình bảo mật đều khó có thể phát hiện. Nếu người dùng mở email và tệp đính kèm, một tệp RAR chứa tệp .LNK sẽ tự động được tạo và thực thi trên máy tính. Sau đó, khi truy cập vào tệp .LNK này, chương trình sẽ tải xuống một tệp .HTA khác có mã VBScript chạy tập lệnh PowerShell để nạp payload cuối cùng.
Chiến dịch tấn công kỹ nghệ xã hội vào Ukraine
CERT-UA cho rằng vụ tấn công được thực hiện bởi Armageddon - một nhóm tin tặc có trụ sở tại Nga và có liên hệ với Cơ quan an ninh Liên bang Nga (FSB). Vào thời điểm tháng 2/2022, nhóm này được xác định có liên quan đến các cuộc tấn công gián điệp nhắm vào chính phủ, quân đội, tư pháp và các tổ chức phi chính phủ (NGO) tại Ukraine, với mục tiêu chính là thu thập các thông tin nhạy cảm.
Trước đó, theo một báo cáo chi tiết được Cơ quan tình báo Ukraine công bố vào tháng 11/2021, Armageddon đã thực hiện ít nhất 5.000 cuộc tấn công mạng nhằm vào 1.500 thực thể quan trọng ở quốc gia Đông Âu này.
Bên cạnh đó, Armageddon còn thực hiện một chiến dịch khác nhắm mục tiêu vào các quan chức chính phủ tại các nước trong tổ chức EU, với phương thức và chiến thuật thực hiện tương tự như cuộc tấn công vào Ukraine.
Một số cuộc tấn công khác
Các chiến dịch lừa đảo khác được CERT-UA ghi nhận trong những tuần gần đây cho thấy, các tin tặc đã triển khai nhiều loại mã độc khác nhau, bao gồm GraphSteel, GrimPlant, HeaderTip, LoadEdge và SPECTR, cũng như Ghostwriter để cài đặt Cobalt Strike và tiến hành khai thác.
Theo công ty bảo mật điểm cuối SentinelOne (Hoa Kỳ), các cuộc tấn công GrimPlant và GraphSteel có liên kết với nhóm tin tặc UAC-0056 (hay còn gọi là SaintBear, UNC2589, TA471) được cho là đã bắt đầu vào đầu tháng 2/2022. Theo SentinelOne mô tả, những payload này là các tệp nhị phân độc hại được thiết kế để tiến hành trinh sát, thu thập thông tin xác thực và chạy các lệnh tùy ý.
SaintBear cũng được cho là đứng sau các hoạt động của mã độc WhisperGate vào đầu tháng 1/2022, tấn công các cơ quan chính phủ ở Ukraine.
Vào tuần trước, Malwarebytes Labs cho biết nhóm SaintBear thực hiện một loạt cuộc tấn công vào các tổ chức ở Ukraine trong thời điểm cuối tháng 3, bao gồm kênh truyền hình ICTV, thông qua các tài liệu Excel được nhúng macro, dẫn đến việc phát tán backdoor GrimPlant, hay còn được gọi là Elephant Implant.
Tiết lộ được đưa ra sau khi một số nhóm tin tặc APT tới từ Iran, Trung Quốc, Triều Tiên và Nga đã lợi dụng cuộc xung đột giữa Nga và Ukraine đang diễn ra, để thực hiện các hoạt động độc hại khác nhau.
Đinh Hồng Đạt
(tổng hợp)
08:00 | 23/03/2022
13:00 | 21/07/2022
11:00 | 10/11/2022
13:00 | 10/03/2022
09:00 | 17/09/2024
15:00 | 19/03/2022
13:00 | 02/12/2024
Từ ngày 26 - 28/11, tại Australia, Hội nghị AISA CyberCon 2024 đã diễn ra thành công, thu hút sự tham gia của hàng nghìn chuyên gia hàng đầu trong lĩnh vực an ninh mạng đến từ nhiều quốc gia trên thế giới. Với chủ đề "Future is Now", sự kiện đã mang đến góc nhìn toàn diện về những thách thức và cơ hội mới trong lĩnh vực an ninh mạng, đồng thời cung cấp những giải pháp và công cụ hữu ích để đối phó với các mối đe dọa ngày càng gia tăng.
11:00 | 29/11/2024
Theo Cục An toàn thông tin (Bộ TT&TT), các hình thức lừa đảo trực tuyến vẫn đang liên tục gia tăng và mục tiêu cuối cùng của các đối tượng luôn là chiếm đoạt tài sản. Dưới đây là 03 chiêu lừa được các đối tượng sử dụng nhiều trên không gian mạng Việt Nam trong nửa cuối tháng 11 do Cục An toàn thông tin ghi nhận.
15:00 | 29/10/2024
Báo cáo mới đây của hãng bảo mật Zscaler (Mỹ) cho biết, Google Play - Cửa hàng ứng dụng chính thức dành cho Android, đã phân phối hơn 200 ứng dụng độc hại trong vòng một năm qua, với tổng số lượt tải xuống gần 8 triệu.
07:00 | 23/10/2024
Những kẻ tấn công mạng đang nhắm mục tiêu vào Các Tiểu vương quốc Ả Rập Thống nhất (UAE), Ả Rập Xê Út và các quốc gia khác trong khu vực Hội đồng hợp tác vùng Vịnh (GCC). Khu vực này thường là mục tiêu ưa chuộng của các tin tặc bởi đây là trung tâm thương mại và buôn bán, có nhiều nền kinh tế giàu mạnh và vì lập trường của các quốc gia trong khu vực Trung Đông này về một số vấn đề địa chính trị.
Khoảng giữa năm 1995, cơ quan An ninh Quốc gia Mỹ (National Security Agency - NSA) bắt đầu công bố hàng nghìn thông điệp được giải mật từ dự án VENONA. Đó là các thông điệp được truyền trong hoạt động ngoại giao và hoạt động tình báo của Liên Xô được trao đổi từ năm 1940. Trong đó, có chứa các thông tin liên quan đến Cơ quan tình báo trung ương Liên Xô (Komitet Gosudarstvennoy Bezopasnosti - KGB), Cơ quan Tình báo Quân đội Nga (Glavnoye Razvedyvatel’noye Upravleniye - GRU), Cơ quan Dân ủy Nội vụ (Narodnyy Komissariat Vnutrennikh Del - NKVD)…. Đây là kết quả hợp tác truyền thông tình báo của Mỹ, Anh và một số nước đồng minh. Bài viết dưới đây trình bày khái quát các kết quả chính và nguyên nhân thám mã thành công của dự án VENONA.
15:00 | 30/12/2018
Nhân dịp Kỷ niệm 80 năm Ngày thành lập Quân đội nhân dân Việt Nam (22/12/1944 - 22/12/2024) và 35 năm Ngày hội Quốc phòng toàn dân (22/12/1989 - 22/12/2024), Ban Cơ yếu Chính phủ tổ chức các hoạt động tri ân tại tỉnh Quảng Ninh.
09:00 | 14/11/2024
Theo Tổ chức Thương mại thế giới (WTO), trí tuệ nhân tạo (AI) có thể giảm chi phí giao dịch, thay đổi ngành dịch vụ, thúc đẩy thương mại liên quan đến AI và định hình lại lợi thế cạnh tranh của các quốc gia.
17:00 | 29/11/2024