Ukraine cảnh báo về chiến dịch phần mềm độc hại mới liên quan đến tin tặc Nga

Mới đây, các quan chức an ninh mạng Ukraine vừa cho biết, một nhóm tấn công mạng nổi tiếng do Nga hậu thuẫn đang đứng sau một làn sóng tấn công phần mềm độc hại mới được lan truyền qua các email.

Cụ thể, Nhóm Ứng cứu Khẩn cấp Máy tính Ukraine (CERT) cho biết các email cảnh báo về khủng bố hạt nhân chứa tài liệu độc hại "Nuclear Terrorism A Very Real Threat.rtf đã được chọn làm phương thức chính. Ở đây, những kẻ đe dọa đã chọn chủ đề của email này để lôi kéo người nhận mở nó, khai thác nỗi sợ hãi đang lan rộng trong người dân Ukraine về một cuộc tấn công hạt nhân tiềm tàng, nhưng trên thực tế đây là những nỗ lực cung cấp phần mềm độc hại. Họ cảnh báo rằng, việc mở tệp sẽ khiến người dùng tải xuống phần mềm độc hại CredoMap trên thiết bị của mục tiêu. CredoMap là một chủng phần mềm độc hại không xác định được phát hiện bởi một số công cụ AV trên Virus Total, với nhiều nhà cung cấp phân loại nó là Trojan ăn cắp mật khẩu.

Theo các nhà nghiên cứu an ninh mạng, công cụ hack CredoMap cho phép những kẻ tấn công ghi lại các lần gõ phím của nạn nhân và sau đó sẽ đột nhập theo dõi hành vi của các máy tính đã bị xâm phạm. Phần mềm độc hại này nhằm mục đích lấy cắp thông tin được lưu trữ trong trình duyệt web Chrome, Edge và Firefox, chẳng hạn như thông tin đăng nhập tài khoản và cookie.

Cuối cùng, phần mềm độc hại đào thải dữ liệu bị đánh cắp bằng giao thức email IMAP, gửi mọi thứ đến địa chỉ C2, được lưu trữ trên một trang web có trụ sở tại Dubai bị bỏ hoang. Những kẻ đe dọa cũng sử dụng một chiến thuật tương tự vào tháng 5 năm 2022, khi phổ biến các tài liệu độc hại cảnh báo về  một cuộc tấn công hóa học .

Chiến dịch Cobalt Strike cũng đang được tiến hành

Song song với hoạt động trên, giới tin tặc Nga cũng đã xác định một chiến dịch khác, bằng cách  sử dụng tệp DOCX có tên "Áp đặt hình phạt.docx" kèm theo phần mềm độc hại Cobalt Strike (ked.dll) được cài đặt ẩn.

Các email được gửi đến được cho là đến từ Cơ quan Thuế Nhà nước Ukraine, với tiêu đề thư gửi: "Thông báo về việc không nộp thuế". Vì Ukraine đang có chiến tranh với Nga và nhiều công dân đương nhiên bỏ bê nghĩa vụ nộp thuế thường xuyên của họ đối với nhà nước, nên chiêu dụ này có thể có hiệu quả đối với nhiều người trong trường hợp này.

Nhóm Ứng cứu Khẩn cấp Máy tính Ukraine (CERT) khuyên nhân viên trong các tổ chức quan trọng nên cảnh giác trước các mối đe dọa được gửi qua email, vì số lượng các cuộc tấn công lừa đảo trực tuyến vẫn còn rất cao.

Các quan chức Ukraine đã liên kết chiến dịch tấn công mạng mới này có liên quan tới APT28, được gọi là Fancy Bear, một nhóm gián điệp mạng do Điện Kremlin hậu thuẫn mà các quan chức tình báo Mỹ cho là đã hoạt động tích cực trong cuộc bầu cử tổng thống Mỹ năm 2016. Công ty an ninh mạng CrowdStrike Holdings Inc. đã gọi Fancy Bear là mối đe dọa thường xuyên đối với các tổ chức toàn cầu.

Hiện tại, đại diện của đại sứ quán Nga tại Washington đã không có phản hồi ngay lập tức nào xung quanh cáo buộc chiến dịch tấn công mạng mới tại Ukraine qua email.

Tin tặc Nga cũng tập trung vào Mỹ và NATO

Vào hôm 22/6, một báo cáo mới được công bố cũng cảnh báo về chiến lược đa mặt trận của Điện Kremlin trong việc tuyên truyền và gián điệp mạng. Cụ thể theo Microsoft Corp, Nga đang mở rộng các hoạt động gián điệp và gây ảnh hưởng chống lại Ukraine và các đồng minh của họ, bao gồm cả hoạt động tấn công mạng độc hại đòi hỏi sự phối hợp và phản ứng mạnh mẽ, Microsoft Corp cho biết trong một báo cáo vừa được công bố.

Theo Microsoft, Nga đã triển khai chiến lược ba mũi nhọn gồm quân sự, mạng và tuyên truyền phối hợp kể từ khi nước này tấn công Ukraine vào cuối tháng 2. Công ty cho biết, các cuộc tấn công mạng bao gồm phần mềm độc hại "xóa sổ" mà tin tặc Nga triển khai chống lại các hệ thống máy tính của Ukraine, và phần mềm độc hại giả dạng email hợp pháp.

Gần 2/3 mục tiêu gián điệp mạng của Nga bên ngoài Ukraine là các nước NATO, với gần một nửa số chiến dịch nhắm vào các cơ quan chính phủ, theo báo cáo mới. Công ty cũng cho biết tin tặc Nga thường xuyên cố gắng thực hiện các cuộc xâm nhập mạng chống lại các tổ chức của Mỹ, với những kẻ tấn công cũng nhằm mục đích xâm nhập các thực thể có trụ sở tại Ba Lan, Đan Mạch, Na Uy, Phần Lan, Thụy Điển và Thổ Nhĩ Kỳ. Ở đây, các cuộc tấn công mạng nhắm vào cơ sở hạ tầng quan trọng chiếm khoảng 19% phương thức hoạt động tấn công.

Theo báo cáo, trong số những nỗ lực hack của Nga được Microsoft phát hiện kể từ đầu cuộc chiến, 29% cuộc tấn công đã thành công. Công ty cho biết hơn một phần tư các vụ tấn công mạng vi phạm thành công đã dẫn đến việc đánh cắp dữ liệu.

Các nhà nghiên cứu Microsoft viết: "Chìa khóa cho khả năng phục hồi kỹ thuật số của một quốc gia trong thời chiến là khả năng nhanh chóng di chuyển dữ liệu ra bên ngoài đất nước trong khi vẫn kết nối và dựa vào nó cho các hoạt động kỹ thuật số của chính phủ".

Trong khi đó, Microsoft nhận thấy, sự lan truyền của phương thức tuyên truyền Nga đã tăng đột biến ở Ukraine, Mỹ và các nơi khác kể từ khi chiến tranh bắt đầu. Các trang báo thân cận của nhà nước Nga đã tìm cách biện minh cho cuộc tấn công Ukraine hồi tháng 2, giải thích cuộc cách mạng Ukraine dẫn đến chiến tranh và chỉ trích các nước liên kết với Ukraine.

Thậm chí, gần đây, Chính quyền Biden đã nhiều lần cảnh báo về các mối đe dọa an ninh mạng đối với các công ty và cơ sở hạ tầng quan trọng của Mỹ kể từ khi chiến tranh bùng nổ. Các quan chức Mỹ đã thúc giục các công ty cập nhật phần mềm của họ, và tăng cường khả năng phát hiện mối đe dọa khi đối mặt với sự tấn công của Nga trong không gian mạng, trong số các khuyến nghị khác.