Theo đó, các hoạt động tấn công gián điệp mạng này được một nhóm tin tặc đứng sau thực hiện trong vòng nhiều năm, ít nhất kể từ năm 2017. Cụ thể, trong tuần qua công ty bảo mật Proofpoint cho biết một nhóm tin tặc có tên gọi là “TA2541”, đã sử dụng mã độc như AsyncRAT và NetWire để tấn công vào nhiều mục tiêu trọng yếu khác nhau trên toàn cầu, chủ yếu tại các khu vực Bắc Mỹ, Châu Âu và Trung Đông, thông qua việc phát tán số lượng lớn tin nhắn rác.
Tin tặc sử dụng kỹ nghệ xã hội (social engineering) bằng việc gửi tin nhắn lừa đảo với chủ đề liên quan đến các ngành công nghiệp hàng không, vũ trụ, giao thông vận tải và quốc phòng. Đặc biệt, trong bối cảnh dịch bệnh COVID-19 đang diễn biến hết sức phức tạp, lợi dụng vào nhu cầu thiết yếu của người dùng như các bộ dụng cụ kiểm tra hay thiết bị bảo vệ cá nhân (PPE), TA2541 tiến hành gửi nhiều tin nhắn lừa đảo để đánh lừa người dùng xoay quanh những chủ đề như vậy.
“Mặc dù TA2541 nhất quán trong một số hành vi, chẳng hạn như sử dụng email mạo danh công ty hàng không để phát tán RAT, tuy nhiên một số chiến thuật tấn công khác như phương thức gửi, tệp đính kèm, URL, cơ sở hạ tầng và các loại mã độc đã được nhóm tin tặc này thay đổi”, Sherrod DeGrippo, Phó chủ tịch nghiên cứu và phát hiện mối đe dọa tại công ty bảo mật Proofpoint chia sẻ.
.jpg)
Phương thức hoạt động của nhóm tin tặc TA2541
Những chiến dịch trước đây, TA2541 thường dùng các tệp đính kèm Microsoft Word chứa macro để triển khai RAT, tuy nhiên biến thể về sau lại bao gồm các liên kết đến những dịch vụ đám mây để lưu trữ mã độc hại, khi chuyển sang sử dụng URL Google Driver và Microsoft OneDriver, dẫn đến tệp VBS (Visual Basic Script) bị xáo trộn.
Khi người dùng thực thi với các tệp này, nó sẽ tận dụng các chức năng của PowerShell để tải mã độc và xâm nhập thiết bị. Tin tặc đã phát tán nhiều loại Trojan khác nhau kể từ khi các chiến dịch bắt đầu, tất cả đều có sẵn trên các diễn đàn “dark web” hoặc có thể tải xuống từ các kho mã nguồn mở.
Ngoài việc sử dụng lặp lại các chủ đề tương tự nhau để gửi email giả mạo, các chuỗi lây nhiễm gần đây sử dụng các URL ứng dụng Discord để ánh xạ đến các tệp nén chứa mã độc AgentTesla hoặc Imminent Monitor, cho thấy tin tặc đã lợi dụng CDN (Content Delivery Network) để phát tán các trình thu thập thông tin nhằm điều khiển từ xa hệ thống bị xâm nhập.
.jpg)
Thống kê số lượng các tin nhắn lừa đảo được sử dụng bởi các mã độc khác nhau
DeGrippo cho biết: “Giảm thiểu các mối đe dọa được lưu trữ trên các dịch vụ hợp pháp có thể sẽ gặp nhiều trở ngại và khó khăn, vì nó liên quan đến việc triển khai các giải pháp phát hiện mạnh mẽ hoặc chính sách ngăn chặn của các dịch vụ lưu trữ”.
Bên cạnh đó, những kỹ thuật khác được TA2541 sử dụng bao gồm việc triển khai máy chủ ảo (VPS) cho việc gửi email giả mạo và DNS động dành cho các hoạt động điều khiển từ xa của máy chủ C2 (Command and Control).
Với việc Microsoft công bố kế hoạch tắt macro theo mặc định cho các tệp tải xuống từ Internet bắt đầu từ tháng 4/2022, động thái này dự kiến sẽ khiến tin tặc đẩy mạnh và chuyển sang các phương pháp khác nếu macro trở thành một phương thức phân phối kém hiệu quả.
DeGrippo giải thích: “Trong khi các tài liệu Office chứa macro độc hại là một trong những kỹ thuật được khai thác thường xuyên để tải xuống và thực thi các payload, thì việc lạm dụng các dịch vụ lưu trữ hợp pháp cũng đã phổ biến hơn. Hơn nữa, chúng tôi thường xuyên phát hiện tin tặc sử dụng payload độc hại trong tệp lưu trữ và tệp hình ảnh (ví dụ: .ZIP, .ISO,…), điều này cũng có thể ảnh hưởng đến khả năng phát hiện và phân tích".
Chiến dịch tấn công này hiện vẫn đang được thực hiện và các chuyên gia bảo mật cảnh báo rằng, tin tặc sẽ tiếp tục nghiên cứu và thay đổi những phương thức mới để triển khai mã độc được hiệu quả.
https://thehackernews.com/2022/02/experts-warn-of-hacking-group-targeting.html
