Nhóm tin tặc Iran đã dành 18 tháng để mạo danh một huấn luyện viên thể dục nhịp điệu, thực hiện chiến dịch gián điệp nhằm lây nhiễm mã độc cho nhân viên và nhà thầu trong lĩnh vực quốc phòng và hàng không.
Chiến dịch đã được các nhà nghiên cứu an ninh mạng tại Proofpoint báo cáo, các chuyên gia này cũng đã liên kết chiến dịch này với TA456 (Tortoiseshell) - một nhóm tin tặc được cho là do nhà nước Iran hậu thuẫn và có quan hệ với một nhánh của Lực lượng Vệ binh Cách mạng Hồi giáo thuộc quân đội Iran.
Hoạt động từ năm 2019, chiến dịch đã sử dụng Facebook, Instagram và email để mạo danh nhân vật "Marcella Flores". Tin tặc đã dành 1 tháng để xây dựng mối quan hệ với các mục tiêu qua tin nhắn và email trước khi phát tán phần mềm độc hại khi đã có được sự tin tưởng.
Hồ sơ Facebook công khai của Marcella giới thiệu mình là một huấn luyện viên thể dục nhịp điệu ở Liverpool (Anh) với danh sách bạn bè có một số người được xác định là nhà thầu quốc phòng. Những kẻ tấn công đứng sau nhân vật giả mạo đã sử dụng email, hồ sơ mạng xã hội, ảnh và thậm chí cả tin nhắn tán tỉnh để giả mạo là người thật.
Sau một thời gian nhắn tin qua lại với mục tiêu, những tin tặc sử dụng tài khoản Gmail để gửi liên kết OneDrive đính kèm tài liệu hoặc tệp video chứa mã độc cho nạn nhân. Đây là một phiên bản cập nhật của phần mềm độc hại Lideric, được các nhà nghiên cứu đặt tên là Lempo.
Facebook đã khóa hồ sơ của Marcella vào tháng 7/2021 sau khi xác định đây là tài khoản giả mạo phục vụ hoạt động gián điệp mạng. Mạng xã hội này cũng chỉ ra mỗi liên hệ với phần mềm độc hại được sử dụng trong các chiến dịch với một công ty của Iran có liên kết với IRGC.
Việc tấn công thông qua một hồ sơ giả mạo trên mạng xã hội hoạt động trong thời gian dài chứng tỏ sự bền bỉ của những kẻ đứng sau chiến dịch gián điệp, nhắm mục tiêu vào các cá nhân, chủ yếu là những người làm việc cho các nhà thầu quốc phòng Hoa Kỳ, đặc biệt là những người tham gia hỗ trợ các hoạt động ở Trung Đông.
Phần mềm độc hại này âm thầm hoạt động trên máy tính Windows của nạn nhân, cho phép những kẻ tấn công tìm kiếm và đánh cắp thông tin nhạy cảm, bao gồm tên người dùng và mật khẩu, sau đó sẽ được gửi lại cho tin tặc. Proofpoint cho biết, do tin tặc nhắm mục tiêu cụ thể vào các nạn nhân, nên rất khó để biết những cuộc tấn công này có thành công hay không.
Tên người dùng và mật khẩu bị đánh cắp có thể giúp những tin tặc tiến hành các chiến dịch gián điệp sâu hơn. Các nhà thầu quốc phòng có khả năng bị nhắm mục tiêu bởi việc đánh cắp thông tin đăng nhập của họ có thể giúp chúng tiến xa hơn đến các chuỗi cung cấp, hay giành được quyền truy cập vào mạng lưới của các công ty quốc phòng và hàng không vũ trụ. Mật khẩu bị đánh cắp có thể được sử dụng để truy cập VPN và các phần mềm từ xa, hoặc được sử dụng để thực hiện các cuộc tấn công lừa đảo tiếp theo.
Trước đây, các nhóm gián điệp mạng và tin tặc được nhà nước Iran hậu thuẫn cũng từng triển khai kiểu tấn công này, sử dụng hồ sơ mạng xã hội giả của phụ nữ để thu hút các cá nhân tải xuống phần mềm độc hại. Giống như các chiến dịch gián điệp trước đó của Iran, chiến dịch này tập trung vào ngành công nghiệp quốc phòng và đặc biệt là các công ty cung cấp hỗ trợ cho các hoạt động quân sự ở Trung Đông. Tất cả bằng chứng này đã khiến Proofpoint quy kết chiến dịch này cho nhóm TA456 có liên quan đến nhà nước Iran.
M.H
17:00 | 28/07/2021
09:00 | 23/08/2021
16:00 | 16/08/2021
18:00 | 22/07/2021
16:00 | 19/07/2021
12:00 | 14/01/2025
Trong thời đại kỹ thuật số, dữ liệu và thông tin cá nhân được xem như nguồn tài nguyên vô cùng quan trọng, đó là lý do tin tặc luôn tìm cách đánh cắp dữ liệu người dùng. Theo một báo cáo của công ty an ninh mạng CloudSEK (Ấn Độ), tin tặc đã đánh cắp lượng dữ liệu người dùng khổng lồ trong năm 2024.
15:00 | 27/11/2024
Starbucks đang phải đối mặt với hậu quả của một cuộc tấn công sử dụng ransomware nhắm vào nhà cung cấp phần mềm cho thương hiệu này, khiến việc chấm công tại các cửa hàng phải chuyển qua phương pháp thủ công.
14:00 | 27/11/2024
Công ty an ninh mạng BlackBerry (Canada) cho biết, nhóm tin tặc APT41 của Trung Quốc đứng sau phần mềm độc hại LightSpy iOS đã mở rộng bộ công cụ của chúng bằng DeepData, một framework khai thác mô-đun trên Windows, được sử dụng để thu thập nhiều loại thông tin từ các thiết bị mục tiêu. Bài viết này sẽ tìm hiểu về các plugin DeepData dựa trên báo cáo của BlackBerry.
09:00 | 18/11/2024
Tin tặc đang lợi dụng cụm từ tìm kiếm "Mèo Bengal có hợp pháp ở Úc không" trên Google để phát tán phần mềm độc hại, gây nguy hiểm cho thiết bị của người dùng.
Apache NiFi - hệ thống xử lý và phân phối dữ liệu đang đối mặt với một lỗ hổng định danh CVE-2024-56512, có thể cho phép truy cập trái phép vào thông tin nhạy cảm. Lỗ hổng này ảnh hưởng đến tất cả các phiên bản NiFi từ 1.10.0 đến 2.0.0.
09:00 | 08/01/2025