Theo công ty an ninh mạng Palo Alto Networks (Mỹ), chiến dịch này nhắm vào một số cơ quan ngoại giao phương Tây trong khoảng thời gian từ tháng 5 đến tháng 6/2022, bao gồm cả đại sứ quán nước ngoài ở Bồ Đào Nha và Brazil.
Tin tặc đã gửi những email độc hại mô phỏng nội dung liên quan đến các cuộc họp với các đại sứ. Nhưng trên thực tế, mục đích là lây nhiễm các tệp độc hại vào hệ thống mạng được nhắm mục tiêu thông qua những email này.
APT29 còn được biết đến với các tên gọi như Nobelium, Cozy Bear, Cloaked Ursa hay The Dukes, là một nhóm gián điệp mạng có tổ chức hoạt động từ năm 2014, với nhiệm vụ thu thập thông tin tình báo phù hợp với các mục tiêu chiến lược của Nga. Nhóm này cũng được xác định là có liên quan đến cuộc tấn công chuỗi cung ứng nổi tiếng SolarWinds vào năm 2020.
Các giai đoạn của chiến dịch lừa đảo của nhóm APT29
Các vụ xâm nhập gần đây là tiếp nối của các chiến dịch trước, trong đó sử dụng các email lừa đảo trực tuyến để triển khai Cobalt Strike Beacons bằng một tệp đính kèm HTML độc hại, được gọi là EnvyScout (hay ROOTSAW). Điểm khác biệt trong chiến dịch lần này là việc sử dụng các dịch vụ đám mây như Dropbox và Google Drive để tránh bị phát hiện, che giấu hành vi và đưa mã độc hại vào môi trường mục tiêu.
EnvyScout đóng vai trò như một công cụ phụ trợ để lây nhiễm thêm nhiều mục tiêu theo tùy chọn của tin tặc. Trong trường hợp này là một tệp thực thi .NET được che giấu trong nhiều lớp làm rối (obfuscation) và được sử dụng để lọc thông tin hệ thống cũng như thực thi mã nhị phân (binary) giai đoạn tiếp theo, chẳng hạn như Cobalt Strike được tìm nạp từ Google Drive.
Các tin tặc sử dụng EnvyScount để giải mã nội dung của một tệp ISO độc hại, kỹ thuật này được gọi là HTML Smuggling. Cụ thể, tệp Agenda[.]html sẽ chịu trách nhiệm giải mã payload và cũng để ghi tệp ISO độc hại vào ổ cứng của nạn nhân. Sau khi hoàn tất, tệp payload này được lưu với tên gọi là Agenda.iso.
Payload được đóng gói thành tệp ISO độc hại
Khi ISO đã được tải xuống, cần có sự tương tác của người dùng để thực thi mã độc trên hệ thống mục tiêu. Người dùng phải nhấp đúp vào tệp ISO, sau đó chọn vào tệp Information[.]lnk, khi đó chuỗi lây nhiễm mới được bắt đầu. Theo các nhà nghiên cứu của Palo Alto Networks kết luận rằng, việc sử dụng các dịch vụ DropBox hay Google Drive,… là chiến thuật mới của tin tặc và rất khó để bị phát hiện, do tính chất phổ biến của các dịch vụ này với hàng triệu khách hàng sử dụng trên toàn thế giới.
Nhà nghiên cứu bảo mật Wilson Fleming, cựu nhân viên của Palo Alto Networks khuyến nghị các tổ chức nên chọn một dịch vụ duy nhất, thay vì sử dụng các môi trường kết hợp. Ngoài ra, ông cũng khuyên người dùng nên sử dụng phiên bản dành cho doanh nghiệp của các dịch vụ như vậy, vì nó cho phép tổ chức chủ động kiểm soát và giảm thiểu nguy cơ bị tấn công.
Đinh Hồng Đạt
08:00 | 23/06/2022
13:00 | 24/08/2022
08:00 | 23/05/2022
14:00 | 31/08/2022
10:00 | 28/03/2024
10:00 | 19/08/2022
14:00 | 08/11/2023
13:00 | 07/02/2024
14:00 | 19/07/2022
14:00 | 29/09/2022
09:00 | 13/06/2022
09:00 | 08/03/2024
Thông tin chi tiết về một lỗ hổng có độ nghiêm trọng mức cao trong ứng dụng Shortcut của Apple đã được công bố, trong đó lỗ hổng có thể cho phép một Shortcut truy cập thông tin nhạy cảm trên thiết bị mà không có sự đồng ý của người dùng.
09:00 | 01/02/2024
Một lỗ hổng nghiêm trọng trong giao diện dòng lệnh (CLI) của Jenkins cho phép kẻ tấn công lấy được các khóa mật mã có thể được sử dụng để thực thi mã tùy ý từ xa.
14:00 | 16/01/2024
Theo nghiên cứu mới đây của Zimperium (công ty bảo mật di động có trụ sở tại Hoa Kỳ), 29 họ phần mềm độc hại đã nhắm mục tiêu vào 1.800 ứng dụng ngân hàng trên 61 quốc gia vào năm 2023. Nhiều hơn gần gấp 3 lần năm 2022 với 10 dòng phần mềm độc hại nhắm mục tiêu đến 600 ứng dụng ngân hàng. Có thể thấy được sự phát triển và tiện lợi của các ứng dụng ngân hàng trực tuyến, tuy nhiên chúng cũng đi kèm với nguy cơ tiềm ẩn về an toàn thông tin và gian lận tài chính.
07:00 | 11/12/2023
Hoạt động từ cuối năm 2021, Ducktail là họ phần mềm độc hại nhằm mục đích đánh cắp tài khoản doanh nghiệp trên Facebook. Theo báo cáo của 2 hãng bảo mật WithSecure (Phần Lan) và GridinSoft (Ukraine) cho biết các cuộc tấn công Ducktail được thực hiện bởi một nhóm tin tặc đến từ Việt Nam.
Công ty an ninh mạng Palo Alto Networks (Mỹ) chuyên cung cấp giải pháp tường lửa cảnh báo một lỗ hổng zero-day nghiêm trọng mới, với điểm CVSS tối đa 10/10. Nếu bị khai thác, kẻ tấn công có thể thực thi mã tùy ý với đặc quyền root mà không cần xác thực.
15:00 | 16/04/2024