Ukraine cảnh báo về các chiến dịch tấn công mạng mới
Tấn công vào tài khoản Telegram
Theo Cơ quan Bảo vệ thông tin và Truyền thông đặc biệt (SSSCIP) của Ukraine cho biết: “Các tin tặc đã gửi những đoạn tin nhắn có liên kết độc hại đến trang web Telegram để truy cập trái phép thông tin tài khoản người dùng”.
Những cuộc tấn công này được xác định đến từ nhóm UAC-0094, bắt nguồn bởi các tin nhắn Telegram cảnh báo người nhận rằng tài khoản của họ đăng nhập trên một thiết bị ở Nga và thông báo người dùng xác nhận tài khoản bằng cách chọn vào một liên kết.
Trên thực tế, liên kết này là một URL lừa đảo, nhắc nạn nhân nhập số điện thoại cũng như mật khẩu gửi một lần qua tin nhắn SMS, sau đó tin tặc sẽ sử dụng những thông tin này để chiếm đoạt tài khoản.
Thông báo lừa đảo yêu cầu nhập số điện thoại và mật khẩu qua SMS để xác nhận tài khoản
Các chuyên gia bảo mật khuyến nghị người dùng không nên nhấp vào các liên kết đáng ngờ và chưa xác định, đảm bảo thiết lập mật khẩu bổ sung để xác minh hai bước trong Telegram (cùng với mã được gửi qua SMS).
Phương thức tấn công này phản ánh một cuộc tấn công lừa đảo trước đó đã được phát hiện vào đầu tháng 3/2022, khi các tin tặc lợi dụng các tài khoản đã bị xâm phạm tại Ấn Độ, để gửi email lừa đảo đến người dùng Ukr.net và thực hiện đánh cắp thông tin tài khoản cá nhân.
Chiến dịch tấn công của nhóm Armageddon
Trong một cuộc tấn công kỹ nghệ xã hội khác được Nhóm Ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) phát hiện, các email liên quan đến cuộc xung đột đã được gửi đến một số cơ quan chính phủ Ukraine để triển khai một loại mã độc gián điệp.
Cụ thể, một số lượng email được gửi từ địa chỉ “vadim_melnik88@i.Ua”, kết hợp với tệp đính kèm HTML mà theo CERT-UA cho biết tại thời điểm này, nhiều chương trình bảo mật đều khó có thể phát hiện. Nếu người dùng mở email và tệp đính kèm, một tệp RAR chứa tệp .LNK sẽ tự động được tạo và thực thi trên máy tính. Sau đó, khi truy cập vào tệp .LNK này, chương trình sẽ tải xuống một tệp .HTA khác có mã VBScript chạy tập lệnh PowerShell để nạp payload cuối cùng.
Chiến dịch tấn công kỹ nghệ xã hội vào Ukraine
CERT-UA cho rằng vụ tấn công được thực hiện bởi Armageddon - một nhóm tin tặc có trụ sở tại Nga và có liên hệ với Cơ quan an ninh Liên bang Nga (FSB). Vào thời điểm tháng 2/2022, nhóm này được xác định có liên quan đến các cuộc tấn công gián điệp nhắm vào chính phủ, quân đội, tư pháp và các tổ chức phi chính phủ (NGO) tại Ukraine, với mục tiêu chính là thu thập các thông tin nhạy cảm.
Trước đó, theo một báo cáo chi tiết được Cơ quan tình báo Ukraine công bố vào tháng 11/2021, Armageddon đã thực hiện ít nhất 5.000 cuộc tấn công mạng nhằm vào 1.500 thực thể quan trọng ở quốc gia Đông Âu này.
Bên cạnh đó, Armageddon còn thực hiện một chiến dịch khác nhắm mục tiêu vào các quan chức chính phủ tại các nước trong tổ chức EU, với phương thức và chiến thuật thực hiện tương tự như cuộc tấn công vào Ukraine.
Một số cuộc tấn công khác
Các chiến dịch lừa đảo khác được CERT-UA ghi nhận trong những tuần gần đây cho thấy, các tin tặc đã triển khai nhiều loại mã độc khác nhau, bao gồm GraphSteel, GrimPlant, HeaderTip, LoadEdge và SPECTR, cũng như Ghostwriter để cài đặt Cobalt Strike và tiến hành khai thác.
Theo công ty bảo mật điểm cuối SentinelOne (Hoa Kỳ), các cuộc tấn công GrimPlant và GraphSteel có liên kết với nhóm tin tặc UAC-0056 (hay còn gọi là SaintBear, UNC2589, TA471) được cho là đã bắt đầu vào đầu tháng 2/2022. Theo SentinelOne mô tả, những payload này là các tệp nhị phân độc hại được thiết kế để tiến hành trinh sát, thu thập thông tin xác thực và chạy các lệnh tùy ý.
SaintBear cũng được cho là đứng sau các hoạt động của mã độc WhisperGate vào đầu tháng 1/2022, tấn công các cơ quan chính phủ ở Ukraine.
Vào tuần trước, Malwarebytes Labs cho biết nhóm SaintBear thực hiện một loạt cuộc tấn công vào các tổ chức ở Ukraine trong thời điểm cuối tháng 3, bao gồm kênh truyền hình ICTV, thông qua các tài liệu Excel được nhúng macro, dẫn đến việc phát tán backdoor GrimPlant, hay còn được gọi là Elephant Implant.
Tiết lộ được đưa ra sau khi một số nhóm tin tặc APT tới từ Iran, Trung Quốc, Triều Tiên và Nga đã lợi dụng cuộc xung đột giữa Nga và Ukraine đang diễn ra, để thực hiện các hoạt động độc hại khác nhau.
Đinh Hồng Đạt
(tổng hợp)