Theo Cơ quan Bảo vệ thông tin và Truyền thông đặc biệt (SSSCIP) của Ukraine cho biết: “Các tin tặc đã gửi những đoạn tin nhắn có liên kết độc hại đến trang web Telegram để truy cập trái phép thông tin tài khoản người dùng”.
Những cuộc tấn công này được xác định đến từ nhóm UAC-0094, bắt nguồn bởi các tin nhắn Telegram cảnh báo người nhận rằng tài khoản của họ đăng nhập trên một thiết bị ở Nga và thông báo người dùng xác nhận tài khoản bằng cách chọn vào một liên kết.
Trên thực tế, liên kết này là một URL lừa đảo, nhắc nạn nhân nhập số điện thoại cũng như mật khẩu gửi một lần qua tin nhắn SMS, sau đó tin tặc sẽ sử dụng những thông tin này để chiếm đoạt tài khoản.
Thông báo lừa đảo yêu cầu nhập số điện thoại và mật khẩu qua SMS để xác nhận tài khoản
Các chuyên gia bảo mật khuyến nghị người dùng không nên nhấp vào các liên kết đáng ngờ và chưa xác định, đảm bảo thiết lập mật khẩu bổ sung để xác minh hai bước trong Telegram (cùng với mã được gửi qua SMS).
Phương thức tấn công này phản ánh một cuộc tấn công lừa đảo trước đó đã được phát hiện vào đầu tháng 3/2022, khi các tin tặc lợi dụng các tài khoản đã bị xâm phạm tại Ấn Độ, để gửi email lừa đảo đến người dùng Ukr.net và thực hiện đánh cắp thông tin tài khoản cá nhân.
Trong một cuộc tấn công kỹ nghệ xã hội khác được Nhóm Ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) phát hiện, các email liên quan đến cuộc xung đột đã được gửi đến một số cơ quan chính phủ Ukraine để triển khai một loại mã độc gián điệp.
Cụ thể, một số lượng email được gửi từ địa chỉ “vadim_melnik88@i.Ua”, kết hợp với tệp đính kèm HTML mà theo CERT-UA cho biết tại thời điểm này, nhiều chương trình bảo mật đều khó có thể phát hiện. Nếu người dùng mở email và tệp đính kèm, một tệp RAR chứa tệp .LNK sẽ tự động được tạo và thực thi trên máy tính. Sau đó, khi truy cập vào tệp .LNK này, chương trình sẽ tải xuống một tệp .HTA khác có mã VBScript chạy tập lệnh PowerShell để nạp payload cuối cùng.
.png)
Chiến dịch tấn công kỹ nghệ xã hội vào Ukraine
CERT-UA cho rằng vụ tấn công được thực hiện bởi Armageddon - một nhóm tin tặc có trụ sở tại Nga và có liên hệ với Cơ quan an ninh Liên bang Nga (FSB). Vào thời điểm tháng 2/2022, nhóm này được xác định có liên quan đến các cuộc tấn công gián điệp nhắm vào chính phủ, quân đội, tư pháp và các tổ chức phi chính phủ (NGO) tại Ukraine, với mục tiêu chính là thu thập các thông tin nhạy cảm.
Trước đó, theo một báo cáo chi tiết được Cơ quan tình báo Ukraine công bố vào tháng 11/2021, Armageddon đã thực hiện ít nhất 5.000 cuộc tấn công mạng nhằm vào 1.500 thực thể quan trọng ở quốc gia Đông Âu này.
Bên cạnh đó, Armageddon còn thực hiện một chiến dịch khác nhắm mục tiêu vào các quan chức chính phủ tại các nước trong tổ chức EU, với phương thức và chiến thuật thực hiện tương tự như cuộc tấn công vào Ukraine.
Một số cuộc tấn công khác
Các chiến dịch lừa đảo khác được CERT-UA ghi nhận trong những tuần gần đây cho thấy, các tin tặc đã triển khai nhiều loại mã độc khác nhau, bao gồm GraphSteel, GrimPlant, HeaderTip, LoadEdge và SPECTR, cũng như Ghostwriter để cài đặt Cobalt Strike và tiến hành khai thác.
Theo công ty bảo mật điểm cuối SentinelOne (Hoa Kỳ), các cuộc tấn công GrimPlant và GraphSteel có liên kết với nhóm tin tặc UAC-0056 (hay còn gọi là SaintBear, UNC2589, TA471) được cho là đã bắt đầu vào đầu tháng 2/2022. Theo SentinelOne mô tả, những payload này là các tệp nhị phân độc hại được thiết kế để tiến hành trinh sát, thu thập thông tin xác thực và chạy các lệnh tùy ý.
SaintBear cũng được cho là đứng sau các hoạt động của mã độc WhisperGate vào đầu tháng 1/2022, tấn công các cơ quan chính phủ ở Ukraine.
Vào tuần trước, Malwarebytes Labs cho biết nhóm SaintBear thực hiện một loạt cuộc tấn công vào các tổ chức ở Ukraine trong thời điểm cuối tháng 3, bao gồm kênh truyền hình ICTV, thông qua các tài liệu Excel được nhúng macro, dẫn đến việc phát tán backdoor GrimPlant, hay còn được gọi là Elephant Implant.
Tiết lộ được đưa ra sau khi một số nhóm tin tặc APT tới từ Iran, Trung Quốc, Triều Tiên và Nga đã lợi dụng cuộc xung đột giữa Nga và Ukraine đang diễn ra, để thực hiện các hoạt động độc hại khác nhau.
Đinh Hồng Đạt
(tổng hợp)
08:00 | 23/03/2022
13:00 | 21/07/2022
13:00 | 10/03/2022
11:00 | 10/11/2022
15:00 | 19/03/2022
08:00 | 22/03/2024
Năm 2024 đánh dấu chặng đường 18 năm xây dựng và phát triển của Tạp chí An toàn thông tin (17/3/2006-17/3/2023). Trong suốt 18 năm qua, Tạp chí đã có những bước phát triển vượt bậc, đáp ứng yêu cầu nhiệm vụ chính trị của đất nước và của ngành Cơ yếu Việt Nam, đặc biệt là yêu cầu về chuyên nghiệp, hiện đại hóa cơ quan báo chí của Chính phủ và của Quân đội. Tạp chí đã cung cấp nội dung thông tin phong phú, chuyên sâu và rộng khắp trong lĩnh vưc bảo mật, an toàn thông tin (ATTT) và Cơ yếu với hình thức thể hiện đa dạng, phù hơp với sự thay đổi của công nghệ truyền thông cũng như sự thay đổi của nhu cầu bạn đọc.
14:00 | 23/02/2024
Nhóm tin tặc mã độc tống tiền BlackCat đã bắt đầu lạm dụng các quy tắc báo cáo sự cố mạng của Ủy ban Chứng khoán và Giao dịch Mỹ (SEC) để gây áp lực lên các tổ chức từ chối đàm phán thanh toán tiền chuộc. Những kẻ tấn công đã nộp đơn khiếu nại lên SEC đối với một nạn nhân, trong một động thái có thể sẽ trở thành thông lệ sau khi các quy định mới đã có hiệu lực vào giữa tháng 12.
10:00 | 31/01/2024
Những kẻ tấn công đang sử dụng các video quảng cáo trên YouTube có nội dung liên quan đến phần mềm bẻ khóa để dụ dỗ người dùng tải xuống phần mềm độc hại đánh cắp thông tin có tên là Lumma Stealer.
09:00 | 09/01/2024
Ngày 6/1, các đội sinh viên thuộc Học viện Kỹ thuật mật mã đã xuất sắc giành cả ba giải Nhất, Nhì, Ba tại cuộc thi “CSTV - Capture the flag 2023”. Cuộc thi do Làng Công nghệ An toàn an ninh thông tin tổ chức dành cho sinh viên các trường đại học trên toàn quốc.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Khoảng giữa năm 1995, cơ quan An ninh Quốc gia Mỹ (National Security Agency - NSA) bắt đầu công bố hàng nghìn thông điệp được giải mật từ dự án VENONA. Đó là các thông điệp được truyền trong hoạt động ngoại giao và hoạt động tình báo của Liên Xô được trao đổi từ năm 1940. Trong đó, có chứa các thông tin liên quan đến Cơ quan tình báo trung ương Liên Xô (Komitet Gosudarstvennoy Bezopasnosti - KGB), Cơ quan Tình báo Quân đội Nga (Glavnoye Razvedyvatel’noye Upravleniye - GRU), Cơ quan Dân ủy Nội vụ (Narodnyy Komissariat Vnutrennikh Del - NKVD)…. Đây là kết quả hợp tác truyền thông tình báo của Mỹ, Anh và một số nước đồng minh. Bài viết dưới đây trình bày khái quát các kết quả chính và nguyên nhân thám mã thành công của dự án VENONA.
15:00 | 30/12/2018
Hướng tới kỷ niệm 80 năm Ngày truyền thống ngành Cơ yếu Việt Nam (12/9/1945 - 12/9/2025), Ban Cơ yếu Chính phủ đã ban hành Kế hoạch phát động Cuộc thi sáng tác nghệ thuật thơ, ca khúc về Ngành Cơ yếu Việt Nam.
10:00 | 16/04/2024
Theo báo cáo của Financial Times, Google đang phát triển các tính năng nâng cao hỗ trợ bởi trí tuệ nhân tạo (AI) trong dịch vụ tìm kiếm của hãng. Tuy nhiên, để trải nghiệm tính năng này, người dùng sẽ phải trả thêm một khoản phí.
09:00 | 19/04/2024
