Sử dụng ứng dụng nhắn tin Zulip trong chiến dịch tấn công lừa đảo

0
0

- Một chiến dịch tấn công đang diễn ra nhằm vào đại sứ quán của các quốc gia thuộc NATO có dấu hiệu liên kết tới đối tượng tấn công tại Nga.

Chiến dịch tấn công Phishing sử dụng văn bản PDF với nội dung ngoại giao được sử dụng để lây nhiễm mã độc Duke, có liên kết tới nhóm APT29 (hay còn được biết đến với tên gọi BlueBravo, Cloaked Ursa, Cozy Bear, Iron Hemlock, Midnight Blizzard và The Dukes).

Theo chuyên gia bảo mật, đối tượng tấn công sử dụng ứng dụng Zulip làm máy chủ C&C để hoạt động, nhằm giảm thiểu nguy cơ bị phát hiện thông qua việc ẩn mình sau các lưu lượng web hợp pháp. Chuỗi lây nhiễm được mô tả như sau: file PDF được nhúng code JavaScript thực thi một quy trình đa giai đoạn để cài vào một backdoor duy trì trên mạng lưới bị xâm nhập.

Việc sử dụng chủ đề này của APT29 đã từng được ghi lại trong chiến dịch tấn công giả danh đại sứ quán Na Uy trước đó nhằm truyền đi payload DLL có khả năng kết nối tới máy chủ từ xa để tải xuống thêm payload bổ trợ.

 

Domain “bahamas.gov[.]bs” được sử dụng trong cả hai bộ xâm nhập càng góp phần củng cố sự liên kết giữa 2 chiến dịch này. Nếu người dùng mở lên file PDF, một dropper HTML độc hại với tên “Invitation_Farewell_DE_EMB” được khởi chạy để thực thi JavaScript tải xuống file ZIP, file này chứa HTML Application (HTA) được thiết kế để triển khai mã độc Duke.

Máy chủ C&C sử dụng API của Zulip gửi đi các thông tin của nạn nhân tới một phòng chat tạo bởi đối tượng tấn công (toyy.zulipchat[.]com) đồng thời cũng là chỉ huy từ xa các máy chủ bị xâm nhập Ngoài ra, một file PDF khác còn được tìm thấy và được nghi là dùng để thăm dò hoặc phục vụ mục đích thử nghiệm của nhóm APT29.

Mục tiêu chính của nhóm tấn công APT29 là nhằm vào chính phủ, các bên có hợp đồng với chính phủ, tổ chức chính trị, viện nghiên cứu và các ngành công nghiệp quan trọng tại Mỹ và châu Âu.

Diễn biến này được công bố khi một công ty bảo mật đưa ra cảnh báo về hình thức tấn công Phisihing nhằm vào các tổ chức thuộc Ukraine sử dụng bộ tool hậu khai thác mã nguồn mở - Merlin. Hoạt động này đang được theo dõi dưới mã UAC-0154.

Một số mã độc còn bao gồm NETD nhằm đảm bảo duy trì, DROPBEAR để thiết lập kết nối từ xa, STL để thu thập dữ liệu từ hệ thống vệ tinh Starlink, DEBLIND để trích xuất dữ liệu và mã độc Mirai botnet. Ngoài ra, trong chiến dịch tấn công còn sử dụng dịch vụ ẩn TOR để truy cập thiết bị trên mạng LAN thông qua Internet.

PV


Ý kiến bạn đọc


Lời cảm ơn của gia đình Tổng Bí thư Nguyễn Phú Trọng

Chiều 26/7, ông Nguyễn Trọng Trường, đại diện gia đình Tổng Bí thư Nguyễn Phú Trọng đọc Lời cảm ơn của gia đình Tổng Bí thư tại Lễ Truy điệu.

Bức tâm thư của Phu nhân Tổng Bí thư Lào gửi Phu nhân Tổng Bí thư

(VnMedia) - VnMedia xin đăng tải toàn văn bức tâm thư của Phu nhân Tổng Bí thư Lào Naly Sisoulith gửi Phu nhân Tổng Bí thư Nguyễn Phú Trọng, Ngô Thị Mận.

Nhớ về một người Cộng sản chân chính

(VnMedia)- Mỗi khi nghĩ về Tổng Bí thư Nguyễn Phú Trọng là trong tôi hiện lên hình ảnh một người Cộng sản chân chính. Và, lúc này, tôi lại nhớ đến câu chuyện mẹ tôi vẫn kể trong những năm tháng bà còn sống về cha tôi - một người Cộng sản...

Cảnh báo chiêu trò lừa đảo tuyển người mẫu, cầu thủ nhí trên không gian mạng

(VnMedia) - Bộ Công an vừa phát đi cảnh báo về chiêu trò lừa đảo tuyển mẫu nhí, cầu thủ nhí, người đại diện thương hiệu nhằm chiếm đoạt tài sản qua không gian mạng.

Giá vàng đảo chiều tăng mạnh

(VnMedia) - Chốt phiên giao dịch rạng sáng nay (24/7), giá vàng giao ngay tại thị trường New York đã đảo chiều tăng mạnh hơn 13 USD/ounce. Trong nước, chiều qua, giá vàng miếng SJC vẫn duy trì ở mốc gần 80 triệu đồng/lượng ở chiều bán ra.