Theo công ty an ninh mạng Palo Alto Networks (Mỹ), chiến dịch này nhắm vào một số cơ quan ngoại giao phương Tây trong khoảng thời gian từ tháng 5 đến tháng 6/2022, bao gồm cả đại sứ quán nước ngoài ở Bồ Đào Nha và Brazil.
Tin tặc đã gửi những email độc hại mô phỏng nội dung liên quan đến các cuộc họp với các đại sứ. Nhưng trên thực tế, mục đích là lây nhiễm các tệp độc hại vào hệ thống mạng được nhắm mục tiêu thông qua những email này.
APT29 còn được biết đến với các tên gọi như Nobelium, Cozy Bear, Cloaked Ursa hay The Dukes, là một nhóm gián điệp mạng có tổ chức hoạt động từ năm 2014, với nhiệm vụ thu thập thông tin tình báo phù hợp với các mục tiêu chiến lược của Nga. Nhóm này cũng được xác định là có liên quan đến cuộc tấn công chuỗi cung ứng nổi tiếng SolarWinds vào năm 2020.
Các giai đoạn của chiến dịch lừa đảo của nhóm APT29
Các vụ xâm nhập gần đây là tiếp nối của các chiến dịch trước, trong đó sử dụng các email lừa đảo trực tuyến để triển khai Cobalt Strike Beacons bằng một tệp đính kèm HTML độc hại, được gọi là EnvyScout (hay ROOTSAW). Điểm khác biệt trong chiến dịch lần này là việc sử dụng các dịch vụ đám mây như Dropbox và Google Drive để tránh bị phát hiện, che giấu hành vi và đưa mã độc hại vào môi trường mục tiêu.
EnvyScout đóng vai trò như một công cụ phụ trợ để lây nhiễm thêm nhiều mục tiêu theo tùy chọn của tin tặc. Trong trường hợp này là một tệp thực thi .NET được che giấu trong nhiều lớp làm rối (obfuscation) và được sử dụng để lọc thông tin hệ thống cũng như thực thi mã nhị phân (binary) giai đoạn tiếp theo, chẳng hạn như Cobalt Strike được tìm nạp từ Google Drive.
Các tin tặc sử dụng EnvyScount để giải mã nội dung của một tệp ISO độc hại, kỹ thuật này được gọi là HTML Smuggling. Cụ thể, tệp Agenda[.]html sẽ chịu trách nhiệm giải mã payload và cũng để ghi tệp ISO độc hại vào ổ cứng của nạn nhân. Sau khi hoàn tất, tệp payload này được lưu với tên gọi là Agenda.iso.
Payload được đóng gói thành tệp ISO độc hại
Khi ISO đã được tải xuống, cần có sự tương tác của người dùng để thực thi mã độc trên hệ thống mục tiêu. Người dùng phải nhấp đúp vào tệp ISO, sau đó chọn vào tệp Information[.]lnk, khi đó chuỗi lây nhiễm mới được bắt đầu. Theo các nhà nghiên cứu của Palo Alto Networks kết luận rằng, việc sử dụng các dịch vụ DropBox hay Google Drive,… là chiến thuật mới của tin tặc và rất khó để bị phát hiện, do tính chất phổ biến của các dịch vụ này với hàng triệu khách hàng sử dụng trên toàn thế giới.
Nhà nghiên cứu bảo mật Wilson Fleming, cựu nhân viên của Palo Alto Networks khuyến nghị các tổ chức nên chọn một dịch vụ duy nhất, thay vì sử dụng các môi trường kết hợp. Ngoài ra, ông cũng khuyên người dùng nên sử dụng phiên bản dành cho doanh nghiệp của các dịch vụ như vậy, vì nó cho phép tổ chức chủ động kiểm soát và giảm thiểu nguy cơ bị tấn công.
Đinh Hồng Đạt
08:00 | 23/06/2022
13:00 | 24/08/2022
08:00 | 04/05/2024
10:00 | 28/03/2024
14:00 | 31/08/2022
08:00 | 23/05/2022
10:00 | 19/08/2022
15:00 | 17/12/2024
13:00 | 07/02/2024
14:00 | 19/07/2022
14:00 | 08/11/2023
14:00 | 29/09/2022
09:00 | 13/06/2022
09:00 | 03/02/2025
Mã độc tống tiền (Ransomware) là một loại mã độc mã hóa, được xem là mối đe dọa mạng nguy hiểm nhất. Nó được phát triển với mục đích mã hóa dữ liệu và nạn nhân phải trả một số tiền nhất định để lấy lại dữ liệu hoặc ngăn dữ liệu của mình không bị rao bán trên mạng. Trong bài báo này sẽ giới thiệu lịch sử phát triển của ransomware cũng như thực trạng hiện tại của ransomware và các kỹ thuật được sử dụng để từ đó đưa ra các biện pháp giảm thiểu nguy cơ.
13:00 | 13/01/2025
Lừa đảo mạo danh đang là chiêu trò kẻ tấn công sử dụng trên không gian mạng Việt Nam và quốc tế. Lừa đảo qua email giả mạo dịch vụ bảo mật Windows và mạo danh doanh nghiệp bưu chính là 2 thủ đoạn vừa được các chuyên gia cảnh báo.
15:00 | 19/12/2024
Các nhà nghiên cứu an ninh mạng đã cảnh báo về một chiến dịch lừa đảo mới sử dụng các ứng dụng hội nghị truyền hình giả mạo để phát tán phần mềm đánh cắp thông tin có tên Realst, nhắm vào những người làm việc tại Web3 dưới hình thức các cuộc họp kinh doanh giả mạo.
13:00 | 11/11/2024
Theo trang TechSpot, FakeCall là một loại mã độc Android chuyên tấn công tài khoản ngân hàng khét tiếng trong những năm qua đã quay trở lại với 13 biến thể mới, sở hữu nhiều tính năng nâng cao, là mối đe dọa với người dùng toàn cầu.
Các nhà nghiên cứu an ninh mạng đã phát hiện một chiến dịch tấn công mới nhắm vào các thiết bị tường lửa Fortinet FortiGate có giao diện quản lý công khai trên Internet.
14:00 | 04/02/2025