-
09/04/2020
-
116
-
1.210 bài viết
UNC6229 liên quan Việt Nam tấn công chuyên gia Digital Marketing bằng tin tuyển dụng
Nhóm tình báo mối đe dọa của Google (Google Threat Intelligence Group – GTIG) vừa phát hiện một chiến dịch tội phạm mạng có liên quan đến Việt Nam nhắm vào các chuyên gia Digital Marketing. Chiến dịch, được theo dõi với tên UNC6229, lợi dụng tin tuyển dụng giả để chiếm quyền truy cập các tài khoản quảng cáo doanh nghiệp và kết hợp tấn công xã hội tinh vi với phần mềm độc hại nhằm vào thiết bị cá nhân và thông tin đăng nhập trực tuyến của nạn nhân.
Chiến dịch khai thác hành vi tự ứng tuyển, khi nạn nhân gửi hồ sơ cho các vị trí giả mạo trên LinkedIn, các sàn freelancer hoặc các trang do kẻ xấu vận hành như staffvirtual[.]website. Các tin tuyển dụng giả thường mời làm việc từ xa trong lĩnh vực Digital Marketing và quảng cáo. Khi ứng tuyển, người tìm việc cung cấp tên, hồ sơ và thông tin liên hệ, vốn được thu thập để phục vụ các cuộc tấn công cá nhân hóa tiếp theo. Trong lần liên hệ đầu tiên, kẻ tấn công mạo danh nhà tuyển dụng hợp pháp và nhắc trực tiếp đến tin tuyển dụng mà nạn nhân đã ứng tuyển nhằm tạo cảm giác tin cậy.
Kẻ tấn công thường tận dụng các nền tảng SaaS uy tín và công cụ quản lý quan hệ khách hàng CRM, bao gồm cả các triển khai Salesforce bị lạm dụng, để gửi email và điều phối chiến dịch, giúp thư tấn công vượt qua bộ lọc spam và đến trực tiếp hộp thư của nạn nhân. Bước tiếp theo là phát tán payload, nạn nhân nhận file đính kèm độc hại hoặc liên kết lừa đảo. Trong các trường hợp dùng phần mềm độc hại, kẻ tấn công gửi file ZIP có mật khẩu, ngụy trang thành bài kiểm tra kỹ năng hoặc biểu mẫu tuyển dụng. Khi mở, file cài đặt trojan truy cập từ xa RAT cho phép kẻ xấu kiểm soát hệ thống và đánh cắp thông tin đăng nhập. Trong các trường hợp phishing, nạn nhân bị dẫn tới trang đăng nhập giả mạo mô phỏng các dịch vụ doanh nghiệp lớn. Hệ thống phía sau ghi nhận thông tin đăng nhập từ Microsoft 365, Okta và có thể vượt qua cơ chế xác thực đa yếu tố MFA, giúp kẻ xấu truy cập vào các tài khoản doanh nghiệp liên kết.
Sau khi xâm nhập thành công, kẻ tấn công có thể chiếm quyền kiểm soát các nền tảng quản lý quảng cáo và mạng xã hội. Những tài khoản này bị lợi dụng để chạy quảng cáo gian lận hoặc bán lại cho các nhóm tội phạm khác. GTIG nhận thấy dấu hiệu hợp tác và chia sẻ công cụ giữa nhiều nhóm tội phạm tài chính trong UNC6229 được cho là có liên quan đến Việt Nam. Dù chiến dịch hiện tập trung vào chuyên gia Digital Marketing, các phương thức dựa trên lòng tin này có thể được nhân rộng sang nhiều ngành khác, đặc biệt những lĩnh vực lưu trữ dữ liệu thương mại nhạy cảm.
Google đã chặn các tên miền và file liên quan thông qua dịch vụ Safe Browsing và chia sẻ thông tin với cộng đồng bảo mật nhằm tăng khả năng phát hiện lạm dụng nền tảng SaaS và phòng chống các chiến dịch phishing tinh vi. Các tổ chức và chuyên gia được khuyến nghị cảnh giác với các tin tuyển dụng không rõ nguồn gốc, thắt chặt chính sách bảo mật email, bắt buộc MFA mạnh, kiểm soát quyền truy cập trên nền tảng quảng cáo và quét file nghi ngờ trước khi mở.
Các chỉ số xâm nhập (IOC) bao gồm trang web staffvirtual[.]website và các hash liên quan:
Chiến dịch khai thác hành vi tự ứng tuyển, khi nạn nhân gửi hồ sơ cho các vị trí giả mạo trên LinkedIn, các sàn freelancer hoặc các trang do kẻ xấu vận hành như staffvirtual[.]website. Các tin tuyển dụng giả thường mời làm việc từ xa trong lĩnh vực Digital Marketing và quảng cáo. Khi ứng tuyển, người tìm việc cung cấp tên, hồ sơ và thông tin liên hệ, vốn được thu thập để phục vụ các cuộc tấn công cá nhân hóa tiếp theo. Trong lần liên hệ đầu tiên, kẻ tấn công mạo danh nhà tuyển dụng hợp pháp và nhắc trực tiếp đến tin tuyển dụng mà nạn nhân đã ứng tuyển nhằm tạo cảm giác tin cậy.
Kẻ tấn công thường tận dụng các nền tảng SaaS uy tín và công cụ quản lý quan hệ khách hàng CRM, bao gồm cả các triển khai Salesforce bị lạm dụng, để gửi email và điều phối chiến dịch, giúp thư tấn công vượt qua bộ lọc spam và đến trực tiếp hộp thư của nạn nhân. Bước tiếp theo là phát tán payload, nạn nhân nhận file đính kèm độc hại hoặc liên kết lừa đảo. Trong các trường hợp dùng phần mềm độc hại, kẻ tấn công gửi file ZIP có mật khẩu, ngụy trang thành bài kiểm tra kỹ năng hoặc biểu mẫu tuyển dụng. Khi mở, file cài đặt trojan truy cập từ xa RAT cho phép kẻ xấu kiểm soát hệ thống và đánh cắp thông tin đăng nhập. Trong các trường hợp phishing, nạn nhân bị dẫn tới trang đăng nhập giả mạo mô phỏng các dịch vụ doanh nghiệp lớn. Hệ thống phía sau ghi nhận thông tin đăng nhập từ Microsoft 365, Okta và có thể vượt qua cơ chế xác thực đa yếu tố MFA, giúp kẻ xấu truy cập vào các tài khoản doanh nghiệp liên kết.
Sau khi xâm nhập thành công, kẻ tấn công có thể chiếm quyền kiểm soát các nền tảng quản lý quảng cáo và mạng xã hội. Những tài khoản này bị lợi dụng để chạy quảng cáo gian lận hoặc bán lại cho các nhóm tội phạm khác. GTIG nhận thấy dấu hiệu hợp tác và chia sẻ công cụ giữa nhiều nhóm tội phạm tài chính trong UNC6229 được cho là có liên quan đến Việt Nam. Dù chiến dịch hiện tập trung vào chuyên gia Digital Marketing, các phương thức dựa trên lòng tin này có thể được nhân rộng sang nhiều ngành khác, đặc biệt những lĩnh vực lưu trữ dữ liệu thương mại nhạy cảm.
Google đã chặn các tên miền và file liên quan thông qua dịch vụ Safe Browsing và chia sẻ thông tin với cộng đồng bảo mật nhằm tăng khả năng phát hiện lạm dụng nền tảng SaaS và phòng chống các chiến dịch phishing tinh vi. Các tổ chức và chuyên gia được khuyến nghị cảnh giác với các tin tuyển dụng không rõ nguồn gốc, thắt chặt chính sách bảo mật email, bắt buộc MFA mạnh, kiểm soát quyền truy cập trên nền tảng quảng cáo và quét file nghi ngờ trước khi mở.
Các chỉ số xâm nhập (IOC) bao gồm trang web staffvirtual[.]website và các hash liên quan:
- 137a6e6f09cb38905ff5c4ffe4b8967a45313d93bf19e03f8abe8238d589fb42
- 33fc67b0daaffd81493818df4d58112def65138143cec9bd385ef164bb4ac8ab
- 35721350cf3810dd25e12b7ae2be3b11a4e079380bbbb8ca24689fb609929255
- bc114aeaaa069e584da0a2b50c5ed6c36232a0058c9a4c2d7660e3c028359d81
- e1ea0b557c3bda5c1332009628f37299766ac5886dda9aaf6bc902145c41fd10
Theo Cyber Press
Chỉnh sửa lần cuối: