-
18/08/2021
-
45
-
73 bài viết
Tin tặc Iran sử dụng phần mềm gián điệp mới để lạm dụng API Telegram Messenger
Nhóm tin tặc Iran bị phát hiện đang triển khai hai phần mềm độc hại có mục tiêu mới, kèm với các chức năng backdoor "đơn giản" như một phần của cuộc xâm nhập nhằm vào một tổ chức chính phủ ở Trung Đông vào tháng 11 năm 2021.
Công ty an ninh mạng Mandiant cho rằng cuộc tấn công là do một nhóm hacker đang được theo dõi với biệt danh UNC3313, có thể có mối liên hệ với nhóm tin tặc MuddyWater được nhà nước bảo trợ.
Các nhà nghiên cứu Ryan Tomcik, Emiel Haeghebaert và Tufail Ahmed cho biết: "UNC3313 thực hiện giám sát và thu thập thông tin mang tính chiến lược để hỗ trợ lợi ích và việc ra quyết định của Iran". "Các chủ đích của mẫu mã độc và các chiêu trò phising liên quan cho thấy mục tiêu chủ yếu nhắm vào các mối quan hệ địa chính trị."
Vào giữa tháng 1 năm 2022, các cơ quan tình báo Hoa Kỳ đã xác định MuddyWater (hay còn gọi là Static Kitten, Seedworm, TEMP.Zagros, hoặc Mercury) là một nhánh của Bộ Tình báo và An ninh Iran (MOIS) đã hoạt động từ năm 2018 và sử dụng nhiều loại công cụ, kỹ thuật trong các chiến dịch của mình.
Các cuộc tấn công ban đầu thông qua các tin nhắn lừa đảo trực tuyến để có được quyền truy cập, sau đó lợi dụng các công cụ tấn công mạng công khai có sẵn và phần mềm truy cập từ xa để duy trì quyền truy cập vào môi trường đã bị tấn công.
Các email lừa đảo được tạo ra với một chiêu trò phising thông báo rằng nạn nhân được "thăng chức" và lừa họ nhấp vào URL để tải xuống tệp lưu trữ RAR trên OneHub, sau đó cài đặt một phần mềm truy cập từ xa hợp pháp ScreenConnect.
Chuyên gia cho biết: “UNC3313 đã nhanh chóng thiết lập khả năng truy cập từ xa bằng cách sử dụng ScreenConnect để xâm nhập vào hệ thống trong vòng một giờ kể từ khi bị xâm phạm lần đầu”. Các nhà nghiên cứu cũng lưu ý thêm rằng sự cố an ninh đã được ngăn chặn và khắc phục.
Những giai đoạn tiếp theo của cuộc tấn công bao gồm các đặc quyền leo thang, thực hiện trinh sát nội bộ trên mạng được nhắm mục tiêu, chạy các mã lệnh PowerShell được xáo trộn để tải xuống các công cụ và payload trên các hệ thống từ xa.
Đi cùng với đó là một backdoor có tên STARWHALE, một tệp tập lệnh windows (.WSF) thực thi các lệnh được mã hóa cứng thông qua HTTP nhận được từ Command and Control (C2).
Một phần mềm độc hại gián điệp khác phân phối trong quá trình tấn công là GRAMDOOR, sử dụng Telegram API để liên lạc với máy chủ do kẻ tấn công kiểm soát nhằm tránh bị phát hiện, một lần nữa nhấn mạnh việc sử dụng các công cụ liên lạc để tạo điều kiện cho việc xâm nhập dữ liệu.
Các phát hiện cũng trùng hợp với thông tin của các cơ quan an ninh mạng từ Anh và Mỹ, cáo buộc nhóm MuddyWater thực hiện các cuộc tấn công gián điệp nhằm vào các lĩnh vực quốc phòng, chính quyền địa phương, dầu khí tự nhiên và viễn thông trên toàn cầu.
Công ty an ninh mạng Mandiant cho rằng cuộc tấn công là do một nhóm hacker đang được theo dõi với biệt danh UNC3313, có thể có mối liên hệ với nhóm tin tặc MuddyWater được nhà nước bảo trợ.
Các nhà nghiên cứu Ryan Tomcik, Emiel Haeghebaert và Tufail Ahmed cho biết: "UNC3313 thực hiện giám sát và thu thập thông tin mang tính chiến lược để hỗ trợ lợi ích và việc ra quyết định của Iran". "Các chủ đích của mẫu mã độc và các chiêu trò phising liên quan cho thấy mục tiêu chủ yếu nhắm vào các mối quan hệ địa chính trị."
Vào giữa tháng 1 năm 2022, các cơ quan tình báo Hoa Kỳ đã xác định MuddyWater (hay còn gọi là Static Kitten, Seedworm, TEMP.Zagros, hoặc Mercury) là một nhánh của Bộ Tình báo và An ninh Iran (MOIS) đã hoạt động từ năm 2018 và sử dụng nhiều loại công cụ, kỹ thuật trong các chiến dịch của mình.
Các cuộc tấn công ban đầu thông qua các tin nhắn lừa đảo trực tuyến để có được quyền truy cập, sau đó lợi dụng các công cụ tấn công mạng công khai có sẵn và phần mềm truy cập từ xa để duy trì quyền truy cập vào môi trường đã bị tấn công.
Các email lừa đảo được tạo ra với một chiêu trò phising thông báo rằng nạn nhân được "thăng chức" và lừa họ nhấp vào URL để tải xuống tệp lưu trữ RAR trên OneHub, sau đó cài đặt một phần mềm truy cập từ xa hợp pháp ScreenConnect.
Chuyên gia cho biết: “UNC3313 đã nhanh chóng thiết lập khả năng truy cập từ xa bằng cách sử dụng ScreenConnect để xâm nhập vào hệ thống trong vòng một giờ kể từ khi bị xâm phạm lần đầu”. Các nhà nghiên cứu cũng lưu ý thêm rằng sự cố an ninh đã được ngăn chặn và khắc phục.
Những giai đoạn tiếp theo của cuộc tấn công bao gồm các đặc quyền leo thang, thực hiện trinh sát nội bộ trên mạng được nhắm mục tiêu, chạy các mã lệnh PowerShell được xáo trộn để tải xuống các công cụ và payload trên các hệ thống từ xa.
Đi cùng với đó là một backdoor có tên STARWHALE, một tệp tập lệnh windows (.WSF) thực thi các lệnh được mã hóa cứng thông qua HTTP nhận được từ Command and Control (C2).
Một phần mềm độc hại gián điệp khác phân phối trong quá trình tấn công là GRAMDOOR, sử dụng Telegram API để liên lạc với máy chủ do kẻ tấn công kiểm soát nhằm tránh bị phát hiện, một lần nữa nhấn mạnh việc sử dụng các công cụ liên lạc để tạo điều kiện cho việc xâm nhập dữ liệu.
Các phát hiện cũng trùng hợp với thông tin của các cơ quan an ninh mạng từ Anh và Mỹ, cáo buộc nhóm MuddyWater thực hiện các cuộc tấn công gián điệp nhằm vào các lĩnh vực quốc phòng, chính quyền địa phương, dầu khí tự nhiên và viễn thông trên toàn cầu.
Theo: The Hacker News
Chỉnh sửa lần cuối bởi người điều hành: