Nhóm tin tặc Iran đã dành 18 tháng để mạo danh một huấn luyện viên thể dục nhịp điệu, thực hiện chiến dịch gián điệp nhằm lây nhiễm mã độc cho nhân viên và nhà thầu trong lĩnh vực quốc phòng và hàng không.
Chiến dịch đã được các nhà nghiên cứu an ninh mạng tại Proofpoint báo cáo, các chuyên gia này cũng đã liên kết chiến dịch này với TA456 (Tortoiseshell) - một nhóm tin tặc được cho là do nhà nước Iran hậu thuẫn và có quan hệ với một nhánh của Lực lượng Vệ binh Cách mạng Hồi giáo thuộc quân đội Iran.
Hoạt động từ năm 2019, chiến dịch đã sử dụng Facebook, Instagram và email để mạo danh nhân vật "Marcella Flores". Tin tặc đã dành 1 tháng để xây dựng mối quan hệ với các mục tiêu qua tin nhắn và email trước khi phát tán phần mềm độc hại khi đã có được sự tin tưởng.
Hồ sơ Facebook công khai của Marcella giới thiệu mình là một huấn luyện viên thể dục nhịp điệu ở Liverpool (Anh) với danh sách bạn bè có một số người được xác định là nhà thầu quốc phòng. Những kẻ tấn công đứng sau nhân vật giả mạo đã sử dụng email, hồ sơ mạng xã hội, ảnh và thậm chí cả tin nhắn tán tỉnh để giả mạo là người thật.
Sau một thời gian nhắn tin qua lại với mục tiêu, những tin tặc sử dụng tài khoản Gmail để gửi liên kết OneDrive đính kèm tài liệu hoặc tệp video chứa mã độc cho nạn nhân. Đây là một phiên bản cập nhật của phần mềm độc hại Lideric, được các nhà nghiên cứu đặt tên là Lempo.
Facebook đã khóa hồ sơ của Marcella vào tháng 7/2021 sau khi xác định đây là tài khoản giả mạo phục vụ hoạt động gián điệp mạng. Mạng xã hội này cũng chỉ ra mỗi liên hệ với phần mềm độc hại được sử dụng trong các chiến dịch với một công ty của Iran có liên kết với IRGC.
Việc tấn công thông qua một hồ sơ giả mạo trên mạng xã hội hoạt động trong thời gian dài chứng tỏ sự bền bỉ của những kẻ đứng sau chiến dịch gián điệp, nhắm mục tiêu vào các cá nhân, chủ yếu là những người làm việc cho các nhà thầu quốc phòng Hoa Kỳ, đặc biệt là những người tham gia hỗ trợ các hoạt động ở Trung Đông.
Phần mềm độc hại này âm thầm hoạt động trên máy tính Windows của nạn nhân, cho phép những kẻ tấn công tìm kiếm và đánh cắp thông tin nhạy cảm, bao gồm tên người dùng và mật khẩu, sau đó sẽ được gửi lại cho tin tặc. Proofpoint cho biết, do tin tặc nhắm mục tiêu cụ thể vào các nạn nhân, nên rất khó để biết những cuộc tấn công này có thành công hay không.
Tên người dùng và mật khẩu bị đánh cắp có thể giúp những tin tặc tiến hành các chiến dịch gián điệp sâu hơn. Các nhà thầu quốc phòng có khả năng bị nhắm mục tiêu bởi việc đánh cắp thông tin đăng nhập của họ có thể giúp chúng tiến xa hơn đến các chuỗi cung cấp, hay giành được quyền truy cập vào mạng lưới của các công ty quốc phòng và hàng không vũ trụ. Mật khẩu bị đánh cắp có thể được sử dụng để truy cập VPN và các phần mềm từ xa, hoặc được sử dụng để thực hiện các cuộc tấn công lừa đảo tiếp theo.
Trước đây, các nhóm gián điệp mạng và tin tặc được nhà nước Iran hậu thuẫn cũng từng triển khai kiểu tấn công này, sử dụng hồ sơ mạng xã hội giả của phụ nữ để thu hút các cá nhân tải xuống phần mềm độc hại. Giống như các chiến dịch gián điệp trước đó của Iran, chiến dịch này tập trung vào ngành công nghiệp quốc phòng và đặc biệt là các công ty cung cấp hỗ trợ cho các hoạt động quân sự ở Trung Đông. Tất cả bằng chứng này đã khiến Proofpoint quy kết chiến dịch này cho nhóm TA456 có liên quan đến nhà nước Iran.
M.H
17:00 | 28/07/2021
09:00 | 23/08/2021
16:00 | 16/08/2021
18:00 | 22/07/2021
16:00 | 19/07/2021
15:00 | 16/04/2024
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
09:00 | 10/01/2024
Song song với mức độ phổ biến toàn cầu của tiền điện tử và có nhiều cách thức lưu trữ mới thì các kho công cụ tấn công được sử dụng bởi những tác nhân đe dọa tiền kỹ thuật số cũng ngày càng được mở rộng. Bài viết này dựa trên báo cáo của Kaspersky đề cập đến các phương pháp tấn công email khác nhau được tội phạm mạng sử dụng trong các chiến dịch lừa đảo nhắm vào hai cách lưu trữ tiền điện tử phổ biến nhất: ví nóng và ví lạnh.
13:00 | 29/12/2023
Các ứng dụng Google Play thường được kiểm soát chặt chẽ và được kiểm duyệt trước khi phân phối, tuy nhiên, tin tặc vẫn có thể sử dụng nhiều kỹ thuật khác nhau để vượt qua các kiểm tra. Nhiều ứng dụng độc hại hiện nay trên Google Play được phát hiện có nguồn cung và giao dịch trên web đen. Bài báo sẽ giới thiệu đến độc giả tổng quan về các loại dịch vụ được rao bán trên web đen để tải lên các phần mềm độc hại trên Google Play dựa theo một báo cáo của Kaspersky.
14:00 | 30/11/2023
Cơ quan tình báo Ukraine mới đây đã tuyên bố thực hiện chiến dịch tấn công mạng vào Cơ quan Vận tải Hàng không Liên bang Nga - Rosaviatsiya và đưa ra thông tin về tình trạng suy yếu hiện tại của ngành hàng không Nga.
08:00 | 11/01/2024 | Chính sách - Chiến lược
09:00 | 10/01/2024 | Giải pháp khác
09:00 | 05/01/2024|Chính sách - Chiến lược
09:00 | 05/01/2024|An ninh – Quốc Phòng
Các nhà nghiên cứu tại tổ chức bảo mật phi lợi nhuận Shadowserver Foundation (California) cho biết hàng nghìn thiết bị Ivanti VPN kết nối với Internet có khả năng bị ảnh hưởng bởi một lỗ hổng thực thi mã từ xa.
08:00 | 17/04/2024
