Sử dụng ứng dụng nhắn tin Zulip trong chiến dịch tấn công lừa đảo

- Một chiến dịch tấn công đang diễn ra nhằm vào đại sứ quán của các quốc gia thuộc NATO có dấu hiệu liên kết tới đối tượng tấn công tại Nga.

Chiến dịch tấn công Phishing sử dụng văn bản PDF với nội dung ngoại giao được sử dụng để lây nhiễm mã độc Duke, có liên kết tới nhóm APT29 (hay còn được biết đến với tên gọi BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard và The Dukes).

Theo chuyên gia bảo mật, đối tượng tấn công sử dụng ứng dụng Zulip làm máy chủ C&C để hoạt động, nhằm giảm thiểu nguy cơ bị phát hiện thông qua việc ẩn mình sau các lưu lượng web hợp pháp. Chuỗi lây nhiễm được mô tả như sau: file PDF được nhúng code JavaScript thực thi một quy trình đa giai đoạn để cài vào một backdoor duy trì trên mạng lưới bị xâm nhập.

Việc sử dụng chủ đề này của APT29 đã từng được ghi lại trong chiến dịch tấn công giả danh đại sứ quán Na Uy trước đó nhằm truyền đi payload DLL có khả năng kết nối tới máy chủ từ xa để tải xuống thêm payload bổ trợ.

Domain “bahamas.gov[.]bs” được sử dụng trong cả hai bộ xâm nhập càng góp phần củng cố sự liên kết giữa 2 chiến dịch này. Nếu người dùng mở lên file PDF, một dropper HTML độc hại với tên “Invitation_Farewell_DE_EMB” được khởi chạy để thực thi JavaScript tải xuống file ZIP, file này chứa HTML Application (HTA) được thiết kế để triển khai mã độc Duke.

Máy chủ C&C sử dụng API của Zulip gửi đi các thông tin của nạn nhân tới một phòng chat tạo bởi đối tượng tấn công (toyy.zulipchat[.]com) đồng thời cũng là chỉ huy từ xa các máy chủ bị xâm nhập Ngoài ra, một file PDF khác còn được tìm thấy và được nghi là dùng để thăm dò hoặc phục vụ mục đích thử nghiệm của nhóm APT29.

Mục tiêu chính của nhóm tấn công APT29 là nhằm vào chính phủ, các bên có hợp đồng với chính phủ, tổ chức chính trị, viện nghiên cứu và các ngành công nghiệp quan trọng tại Mỹ và châu Âu.

Diễn biến này được công bố khi một công ty bảo mật đưa ra cảnh báo về hình thức tấn công Phisihing nhằm vào các tổ chức thuộc Ukraine sử dụng bộ tool hậu khai thác mã nguồn mở - Merlin. Hoạt động này đang được theo dõi dưới mã UAC-0154.

Một số mã độc còn bao gồm NETD nhằm đảm bảo duy trì, DROPBEAR để thiết lập kết nối từ xa, STL để thu thập dữ liệu từ hệ thống vệ tinh Starlink, DEBLIND để trích xuất dữ liệu và mã độc Mirai botnet. Ngoài ra, trong chiến dịch tấn công còn sử dụng dịch vụ ẩn TOR để truy cập thiết bị trên mạng LAN thông qua Internet.