- Gần đây, Gamaredon tiếp tục được phát hiện nhằm vào Ukraine thông qua các cuộc tấn công sử dụng ứng dụng nhắn tin phổ biến Telegram.
Cơ sở hạ tầng mạng của nhóm dựa vào các tài khoản Telegram với nhiều giai đoạn để lập hồ sơ nạn nhân và xác định vị trí địa lý, sau đó dẫn nạn nhân đến máy chủ giai đoạn tiếp theo.
Theo các chuyên gia nghiên cứu phát hiện, một kênh Telegram mã hóa cứng được sử dụng để lấy địa chỉ IP của máy chủ lưu trữ phần mềm độc hại. Mẫu từ xa được thiết kế để tìm nạp tập lệnh VBA, tệp lệnh này sẽ thả tệp VBScript sau đó kết nối với địa chỉ IP được chỉ định trong lệnh.
 |
| Ảnh minh họa |
Telegram để tìm nạp giai đoạn tiếp theo - tập lệnh PowerShell lần lượt tiếp cận với một địa chỉ IP khác để lấy tệp PHP. Tệp PHP này có nhiệm vụ liên hệ với một kênh Telegram khác để truy xuất địa chỉ IP thứ 3 chứa payload cuối cùng, đây là phần mềm độc hại đánh cắp thông tin.
Nhóm thay đổi địa chỉ IP một cách linh hoạt, điều này khiến việc tự động hóa phân tích thông qua các kỹ thuật sandbox.
Việc các địa chỉ IP bị nghi ngờ chỉ thay đổi trong giờ làm việc ở Đông Âu cho thấy rõ ràng rằng đối tượng tấn công hoạt động từ một điểm và rất có thể thuộc về một đơn vị mạng tấn công triển khai các hoạt động độc hại nhằm vào Ukraine.
PV
