NCSC cho biết: “Các cuộc tấn công không nhằm vào cá nhân mà nhắm vào các lĩnh vực cụ thể, bao gồm học viện, quốc phòng, tổ chức chính phủ, tổ chức phi chính phủ, tổ chức tư vấn, cũng như các chính trị gia, nhà báo và nhà hoạt động”.
Cơ quan này cho rằng các vụ xâm nhập là do nhóm tin tặc SEABORGIUM (còn gọi là Callisto, COLDRIVER và TA446) và APT42 (còn gọi là ITG18, TA453 và Yellow Garuda). Bỏ qua những điểm tương đồng về phương thức hoạt động, không có bằng chứng nào cho thấy hai nhóm đang hợp tác với nhau.
Điển hình của các hoạt động tấn công là các chiến dịch lừa đảo trực tuyến, trong đó các nhóm tin tặc thực hiện gửi những thông điệp rất dễ đánh lừa mục tiêu, do chúng đã dành nhiều thời gian để nghiên cứu sở thích và xác định các mối quan hệ xã hội và nghề nghiệp của người dùng.
Ban đầu các chiến dịch được thiết kế một cách vô hại nhằm lấy lòng tin của người dùng và có thể kéo dài hàng tuần trước khi chuyển sang giai đoạn khai thác. Đồng thời sử dụng các liên kết độc hại có thể dẫn đến đánh cắp thông tin xác thực và xâm phạm thông tin cá nhân, bao gồm cả việc đánh cắp dữ liệu.
Để duy trì chiến dịch, các nhóm tin tặc được cho là đã tạo hồ sơ không có thật trên các nền tảng mạng xã hội để mạo danh các chuyên gia và nhà báo trong nhiều lĩnh vực nhằm lừa nạn nhân nhấn vào các liên kết. Thông tin đăng nhập bị đánh cắp sau đó được sử dụng để đăng nhập vào tài khoản email của mục tiêu và truy cập thông tin nhạy cảm, đồng thời thiết lập quy tắc chuyển tiếp thư để duy trì khả năng hiển thị liên tục trong thư từ của nạn nhân.
Nhóm SEABORGIUM do nhà nước Nga tài trợ có lịch sử thiết lập các trang đăng nhập giả mạo bắt chước các công ty quốc phòng hợp pháp và phòng thí nghiệm nghiên cứu hạt nhân để thực hiện các cuộc tấn công thu thập thông tin xác thực. Bên cạnh đó, nhóm APT42 hoạt động với tư cách là nhánh gián điệp của Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC), được cho là có chung các điểm trùng lặp với PHOSPHORUS và là một phần của nhóm lớn hơn được theo dõi với tên gọi Charming Kitten.
Phong Thu
(theo Thehackernews)
21:00 | 12/12/2022
10:00 | 19/08/2022
14:00 | 14/12/2022
10:00 | 29/03/2024
Một dịch vụ lừa đảo mới có tên là Darcula sử dụng 20.000 tên miền để giả mạo thương hiệu và đánh cắp thông tin xác thực từ người dùng Android và iPhone tại hơn 100 quốc gia thông qua iMessage.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
13:00 | 26/02/2024
Tin tặc Nga có thể có liên quan đến cuộc tấn công mạng lớn nhất nhằm vào cơ sở hạ tầng quan trọng của Đan Mạch, 22 công ty liên quan đến hoạt động của ngành năng lượng của nước này đã bị nhắm mục tiêu vào tháng 5/2023.
07:00 | 17/01/2024
Tin tặc đang tăng cường nhắm mục tiêu vào các tài khoản trên mạng xã hội X (trước đây là Twitter) của chính phủ và doanh nghiệp. Đáng lưu ý, các tài khoản này đều được xác minh và gắn huy hiệu 'vàng' và 'xám', tin tặc lợi dụng nó để phát tán các trò lừa đảo tiền điện tử, trang web lừa đảo.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024