Nhóm tin tặc TA2541 nhắm mục tiêu vào các hệ thống hàng không và quốc phòng

13:00 | 22/02/2022 | HACKER / MALWARE

Các tổ chức trong ngành hàng không, không gian vũ trụ, giao thông vận tải, sản xuất và quốc phòng đã trở thành mục tiêu của một nhóm tin tặc từ năm 2017, là một phần của chuỗi các chiến dịch lừa đảo trực tuyến để phân phối nhiều loại trojan truy cập từ xa (RAT) khi hệ thống bị xâm nhập.

Nhóm tin tặc TA2541 nhắm mục tiêu vào các hệ thống hàng không và quốc phòng

Cụ thể, nhóm tin tặc có tên TA2541 được phát hiện bởi công ty bảo mật doanh nghiệp Proofpoint (Mỹ), đã sử dụng phần mềm độc hại AsyncRAT và NetWire để nhắm tới một số lượng lớn các mục tiêu thông qua việc phát tán vô số tin nhắn rác. Tuy nhiên, mục tiêu cuối cùng của các cuộc tấn công hiện vẫn chưa được xác định.

Nhóm tin tặc sử dụng chiến thuật tấn công phi kỹ thuật bằng việc gửi tin nhắn lừa đảo với các thông điệp mồi nhử liên quan đến hàng không, hậu cần, giao thông vận tải và du lịch. TA2541 đã lợi dụng dịch bệnh COVID-19 để gửi đi nhiều tin nhắn lừa đảo từ đầu năm 2020 với các email có nội dung liên quan đến các lô hàng thiết bị bảo vệ cá nhân hoặc bộ dụng cụ thử nghiệm.

Sherrod DeGrippo, Phó chủ tịch nghiên cứu và phát hiện mối đe dọa tại Proofpoint, cho biết: "Mặc dù TA2541 nhất quán trong một số hành vi, chẳng hạn như sử dụng email mạo danh công ty hàng không để phát tán trojan truy cập từ xa, nhưng nhóm tin tặc đã thay đổi phương thức gửi, tệp đính kèm, URL, cơ sở hạ tầng và loại phần mềm độc hại".

Phương thức hoạt động của nhóm tin tặc TA2541

Các chiến dịch trước đây sử dụng các tệp đính kèm Microsoft Word chứa macro để triển khai RAT, tuy nhiên các biến thể gần đây lại bao gồm các liên kết đến các dịch vụ đám mây để lưu trữ phần mềm độc hại. Các cuộc tấn công lừa đảo được cho là nhắm vào hàng trăm tổ chức trên toàn cầu, với các mục tiêu được phát hiện ở Bắc Mỹ, Châu Âu và Trung Đông.

Ngoài việc sử dụng lặp lại các chủ đề để gửi email giả mạo, các chuỗi lây nhiễm gần đây sử dụng các URL ứng dụng Discord trỏ đến các tệp nén chứa phần mềm độc hại AgentTesla hoặc Imminent Monitor. Tin tặc đã sử dụng các mạng phân phối nội dung để phát tán các trình thu thập thông tin nhằm điều khiển từ xa máy móc bị xâm nhập.

Thống kê số lượng các tin nhắn lừa đảo được sử dụng bởi các mã độc khác nhau

Các kỹ thuật nâng cao được TA2541 sử dụng bao gồm việc sử dụng máy chủ riêng ảo (VPS) cho cơ sở hạ tầng gửi email và DNS động cho các hoạt động ra lệnh và kiểm soát (C2).

Với việc Microsoft công bố kế hoạch tắt macro theo mặc định cho các tệp tải xuống từ Internet bắt đầu từ tháng 4/2022, động thái này dự kiến sẽ khiến tin tặc đẩy mạnh và chuyển hướng sang các phương pháp khác nếu macro trở thành một phương thức phân phối kém hiệu quả.

DeGrippo giải thích: “Trong khi các tài liệu Office chứa macro độc hại là một trong những kỹ thuật được sử dụng thường xuyên để tải xuống và thực thi các mã độc, thì việc lạm dụng các dịch vụ lưu trữ hợp pháp cũng đã phổ biến hơn. Ngoài ra, chúng tôi thường xuyên quan sát thấy tin tặc sử dụng mã độc được chứa trong tệp lưu trữ và tệp hình ảnh, điều này cũng có thể ảnh hưởng đến khả năng phát hiện và phân tích. Tin tặc sẽ liên tục thay đổi và tìm kiếm các phương thức mới để triển khai phần mềm độc hại".

M.H

‹ › ×

Tin liên quan

Tin tặc tấn công hệ thống đường sắt Belarus để ngăn chặn hoạt động quân sự của Nga

11:00 | 16/02/2022

Ngày 24/1/2022, tin tặc ở Belarus cho biết họ đã lây nhiễm ransomware vào mạng lưới hệ thống đường sắt nhà nước và sẽ chỉ cung cấp khóa giải mã nếu Tổng thống Belarus Alexander Lukashenko ngừng hỗ trợ quân đội Nga trước một cuộc xâm lược có thể xảy ra vào Ukraine.

Nhóm tin tặc Killnet đánh sập trang web của Anonymous

14:00 | 02/03/2022

Trước động thái nhóm hacker nổi tiếng Anonymous khởi động chiến dịch tấn công mạng nhắm vào Nga, nhằm đánh sập một số trang web liên quan đến chính phủ của quốc gia này trong thời gian ngắn, nhóm tin tặc Killnet ngay láp tức phản công đánh sập trang web của Anonymous.

Tin tặc đánh cắp 80 triệu USD tiền mã hóa của sàn giao dịch DeFi Qubit

08:00 | 02/02/2022

Tin tặc đã khai thác một lỗ hổng trong việc chuyển đổi từ Ethereum sang nền tảng blockchain khác để đánh cắp số tiền mã hóa trị giá 80 triệu USD của sàn giao dịch DeFi Qubit.

Bốn cách tin tặc ngụy trang cuộc tấn công credential stuffing

10:00 | 10/02/2022

Bài báo này đưa ra bốn kỹ thuật tội phạm mạng đang sử dụng để che giấu các hoạt động tấn công sử dụng credential stuffing, kèm theo thông tin chi tiết về cách bảo vệ chống lại các cuộc tấn công này.

Tin cùng chuyên mục

Tin tặc có thể sử dụng AI tạo sinh để thao túng các cuộc trò chuyện trực tiếp

09:00 | 09/04/2024

Các nhà nghiên cứu bảo mật của IBM đã chứng minh rằng tin tặc có thể sử dụng trí tuệ nhân tạo (AI) tạo sinh và công nghệ deepfake âm thanh để chiếm quyền điều khiển và thao túng các cuộc hội thoại trực tiếp.

AT&T xác nhận dữ liệu của 73 triệu khách hàng bị rò rỉ

13:00 | 05/04/2024

Trong một động thái mới nhất, AT&T cuối cùng đã xác nhận rằng họ bị ảnh hưởng bởi một vụ vi phạm dữ liệu ảnh hưởng đến 73 triệu khách hàng.

Hệ thống công nghệ thông tin của PVOIL bị tấn công ransomware

09:00 | 03/04/2024

Ngày 02/4, hệ thống công nghệ thông tin của Tổng công ty Dầu Việt Nam (PVOIL) bị tấn công bất hợp pháp có chủ đích theo hình thức mã hóa dữ liệu (ransomware). Vụ việc này đã khiến hệ thống công nghệ thông tin của PVOIL bị ngưng trệ, việc phát hành hóa đơn điện tử phục vụ việc bán hàng của PVOIL tạm thời không thể thực hiện được.

Các mối đe dọa trên Google Play được giao dịch trên web đen

13:00 | 29/12/2023

Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.