WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Chiến dịch gián điệp sử dụng hồ sơ trực tuyến lừa người dùng tải mã độc
Một chiến dịch gián điệp mạng có liên quan đến quân đội Iran đã lừa các nạn nhân bằng cách dùng các hồ sơ mạng xã hội giả để đánh cắp tên người dùng, mật khẩu và các thông tin nhạy cảm khác. Nhóm tin tặc Iran đã dành 18 tháng giả dạng một huấn luyện viên thể dục nhịp điệu để thực hiện chiến dịch gián điệp nhằm lây nhiễm mã độc cho nhân viên và nhà thầu trong lĩnh vực quốc phòng và hàng không.
Hoạt động từ năm 2019, chiến dịch đã sử dụng Facebook, Instagram và email để đóng giả nhân vật "Marcella Flores". Những kẻ tấn công có thể dành hàng tháng trời để xây dựng mối quan hệ với các mục tiêu qua tin nhắn và email trước khi phát tán phần mềm độc hại khi đã có được sự tin tưởng.
Chiến dịch đã được các nhà nghiên cứu an ninh mạng tại Proofpoint thông báo, các chuyên gia này cũng đã liên kết chiến dịch này với TA456, còn được gọi là Tortoiseshell - một nhóm hacker do nhà nước Iran hậu thuẫn và có quan hệ với một nhánh của Lực lượng Vệ binh Cách mạng Hồi giáo (IRGC) thuộc quân đội Iran.
Việc tấn công thông qua một hồ sơ giả mạo trên mạng xã hội hoạt động trong thời gian dài chứng tỏ sự bền bỉ của những kẻ đứng sau chiến dịch gián điệp, nhắm mục tiêu vào các cá nhân, chủ yếu là những người làm việc cho các nhà thầu quốc phòng Hoa Kỳ, đặc biệt là những người tham gia hỗ trợ các hoạt động ở Trung Đông.
Hồ sơ Facebook công khai của Marcella giới thiệu mình là một huấn luyện viên thể dục nhịp điệu ở Liverpool, Anh – với danh sách bạn bè có một số người được xác định là nhà thầu quốc phòng. Những kẻ tấn công đứng sau nhân vật giả mạo đã sử dụng email, hồ sơ mạng xã hội, ảnh và thậm chí cả tin nhắn tán tỉnh để tạo ấn tượng là một người thực sự.
Sau một thời gian nhắn tin qua lại với mục tiêu, những kẻ tấn công sử dụng tài khoản Gmail để gửi liên kết OneDrive chứa tài liệu hoặc tệp video cho nạn nhân. Chiêu này được sử dụng để phân phối mã độc cho nạn nhân - một phiên bản cập nhật của phần mềm độc hại Lideric, được các nhà nghiên cứu đặt tên là Lempo.
Phần mềm độc hại này âm thầm hoạt động trên máy tính Windows của nạn nhân, cho phép những kẻ tấn công tìm kiếm và đánh cắp thông tin nhạy cảm, bao gồm tên người dùng và mật khẩu, sau đó sẽ được gửi lại cho hacker. Proofpoint cho biết: Do nhắm mục tiêu cụ thể vào các nạn nhân; nên rất khó để biết những cuộc tấn công này có thành công hay không.
Tên người dùng và mật khẩu bị đánh cắp có thể giúp những kẻ tấn công tiến hành các chiến dịch gián điệp sâu hơn. Các nhà thầu quốc phòng có khả năng bị nhắm mục tiêu bởi việc đánh cắp thông tin đăng nhập của họ có thể giúp kẻ tấn công tiến xa hơn đến các chuỗi cung cấp, hay giành được quyền truy cập vào mạng lưới của các công ty quốc phòng và hàng không vũ trụ.
Mật khẩu bị đánh cắp có thể được sử dụng để truy cập VPN và các phần mềm từ xa, hoặc được sử dụng để thực hiện các cuộc tấn công lừa đảo tiếp theo.
Trước đây, các nhóm gián điệp mạng và hacker được nhà nước Iran hậu thuẫn cũng từng triển khai kiểu tấn công này, sử dụng hồ sơ mạng xã hội giả của phụ nữ để thu hút các cá nhân tải xuống phần mềm độc hại. Giống như các chiến dịch gián điệp trước đó của Iran, chiến dịch này tập trung vào ngành công nghiệp quốc phòng và đặc biệt là các công ty cung cấp hỗ trợ cho các hoạt động quân sự ở Trung Đông. Tất cả bằng chứng này đã khiến Proofpoint quy kết chiến dịch này cho nhóm TA456 có liên quan đến nhà nước Iran.
Facebook đã khóa hồ sơ của Marcella vào tháng 7 sau khi xác định đây là tài khoản giả mạo phục vụ hoạt động gián điệp mạng. Hãng cũng chỉ ra mỗi liên hệ với phần mềm độc hại được sử dụng trong các chiến dịch với một công ty của Iran có liên kết với IRGC.
Hoạt động từ năm 2019, chiến dịch đã sử dụng Facebook, Instagram và email để đóng giả nhân vật "Marcella Flores". Những kẻ tấn công có thể dành hàng tháng trời để xây dựng mối quan hệ với các mục tiêu qua tin nhắn và email trước khi phát tán phần mềm độc hại khi đã có được sự tin tưởng.
Việc tấn công thông qua một hồ sơ giả mạo trên mạng xã hội hoạt động trong thời gian dài chứng tỏ sự bền bỉ của những kẻ đứng sau chiến dịch gián điệp, nhắm mục tiêu vào các cá nhân, chủ yếu là những người làm việc cho các nhà thầu quốc phòng Hoa Kỳ, đặc biệt là những người tham gia hỗ trợ các hoạt động ở Trung Đông.
Hồ sơ Facebook công khai của Marcella giới thiệu mình là một huấn luyện viên thể dục nhịp điệu ở Liverpool, Anh – với danh sách bạn bè có một số người được xác định là nhà thầu quốc phòng. Những kẻ tấn công đứng sau nhân vật giả mạo đã sử dụng email, hồ sơ mạng xã hội, ảnh và thậm chí cả tin nhắn tán tỉnh để tạo ấn tượng là một người thực sự.
Sau một thời gian nhắn tin qua lại với mục tiêu, những kẻ tấn công sử dụng tài khoản Gmail để gửi liên kết OneDrive chứa tài liệu hoặc tệp video cho nạn nhân. Chiêu này được sử dụng để phân phối mã độc cho nạn nhân - một phiên bản cập nhật của phần mềm độc hại Lideric, được các nhà nghiên cứu đặt tên là Lempo.
Phần mềm độc hại này âm thầm hoạt động trên máy tính Windows của nạn nhân, cho phép những kẻ tấn công tìm kiếm và đánh cắp thông tin nhạy cảm, bao gồm tên người dùng và mật khẩu, sau đó sẽ được gửi lại cho hacker. Proofpoint cho biết: Do nhắm mục tiêu cụ thể vào các nạn nhân; nên rất khó để biết những cuộc tấn công này có thành công hay không.
Tên người dùng và mật khẩu bị đánh cắp có thể giúp những kẻ tấn công tiến hành các chiến dịch gián điệp sâu hơn. Các nhà thầu quốc phòng có khả năng bị nhắm mục tiêu bởi việc đánh cắp thông tin đăng nhập của họ có thể giúp kẻ tấn công tiến xa hơn đến các chuỗi cung cấp, hay giành được quyền truy cập vào mạng lưới của các công ty quốc phòng và hàng không vũ trụ.
Mật khẩu bị đánh cắp có thể được sử dụng để truy cập VPN và các phần mềm từ xa, hoặc được sử dụng để thực hiện các cuộc tấn công lừa đảo tiếp theo.
Trước đây, các nhóm gián điệp mạng và hacker được nhà nước Iran hậu thuẫn cũng từng triển khai kiểu tấn công này, sử dụng hồ sơ mạng xã hội giả của phụ nữ để thu hút các cá nhân tải xuống phần mềm độc hại. Giống như các chiến dịch gián điệp trước đó của Iran, chiến dịch này tập trung vào ngành công nghiệp quốc phòng và đặc biệt là các công ty cung cấp hỗ trợ cho các hoạt động quân sự ở Trung Đông. Tất cả bằng chứng này đã khiến Proofpoint quy kết chiến dịch này cho nhóm TA456 có liên quan đến nhà nước Iran.
Facebook đã khóa hồ sơ của Marcella vào tháng 7 sau khi xác định đây là tài khoản giả mạo phục vụ hoạt động gián điệp mạng. Hãng cũng chỉ ra mỗi liên hệ với phần mềm độc hại được sử dụng trong các chiến dịch với một công ty của Iran có liên kết với IRGC.
Nguồn: ZDNet