Ngày 15 tháng 6 năm 2023Ravie LakshmananChiến tranh mạng / Mối đe dọa Intel
Diễn viên đe dọa người Nga được gọi là con sâu đã tiếp tục cuộc tấn công mạng chống lại các thực thể Ukraine nhằm đánh cắp thông tin nhạy cảm từ các môi trường bị xâm nhập.
Symantec cho biết trong một báo cáo mới được chia sẻ với The Hacker News, mục tiêu của các vụ xâm nhập gần đây, bắt đầu vào tháng 2/tháng 3 năm 2023, bao gồm các dịch vụ an ninh, quân đội và tổ chức chính phủ.
Công ty an ninh mạng cho biết: “Trong một số trường hợp, nhóm người Nga đã thành công trong việc dàn dựng các cuộc xâm nhập kéo dài, kéo dài tới ba tháng.
“Những kẻ tấn công liên tục cố gắng truy cập và đánh cắp thông tin nhạy cảm như báo cáo về cái chết của các thành viên dịch vụ Ukraine, báo cáo về các cuộc giao chiến và không kích của kẻ thù, báo cáo kiểm kê kho vũ khí, báo cáo huấn luyện, v.v.”
Shuckworm, còn được biết đến với các tên Aqua Blizzard (trước đây là Actinium), Armageddon, Gamaredon, Iron Tilden, Primitive Bear, Trident Ursa, UNC530 và Winterflounder, được quy cho Cơ quan An ninh Liên bang Nga (FSB). Nó được cho là đã hoạt động kể từ ít nhất là năm 2013.
Các hoạt động gián điệp mạng bao gồm các chiến dịch lừa đảo trực tuyến được thiết kế để lôi kéo nạn nhân mở các tệp đính kèm có bẫy, cuối cùng dẫn đến việc triển khai những kẻ đánh cắp thông tin như Giddome, Pterodo, GammaLoad và GammaSteel trên các máy chủ bị nhiễm.
“Iron Tilden hy sinh một số bảo mật vận hành để ưu tiên cho các hoạt động có nhịp độ cao, nghĩa là cơ sở hạ tầng của họ có thể được nhận dạng thông qua việc sử dụng thường xuyên các nhà cung cấp DNS động cụ thể, nhà cung cấp dịch vụ lưu trữ của Nga và các kỹ thuật chèn mẫu từ xa,” Secureworks lưu ý trong hồ sơ về tác nhân đe dọa.
Trong tập hợp các cuộc tấn công mới nhất do Symantec trình bày chi tiết, nhóm đối thủ đã được quan sát thấy sử dụng tập lệnh PowerShell mới để truyền bá cửa hậu Pterodo thông qua ổ USB.
Mặc dù việc Shuckworm sử dụng các kênh Telegram để truy xuất địa chỉ IP của máy chủ lưu trữ tải trọng đã được ghi lại rõ ràng, nhưng kẻ đe dọa được cho là đã mở rộng kỹ thuật lưu trữ địa chỉ lệnh và kiểm soát (C2) trên Telegraph, một nền tảng blog thuộc sở hữu của bởi Telegram.
Nhóm cũng sử dụng tập lệnh PowerShell (“foto.safe”) lây lan qua các trình điều khiển USB bị xâm nhập và có các khả năng tải phần mềm độc hại bổ sung vào máy chủ.
HỘI THẢO TRỰC TUYẾN SẮP TỚI
🔐 Làm chủ bảo mật API: Hiểu bề mặt tấn công thực sự của bạn
Khám phá các lỗ hổng chưa được khai thác trong hệ sinh thái API của bạn và chủ động thực hiện các bước hướng tới bảo mật bọc thép. Tham gia hội thảo trên web sâu sắc của chúng tôi!
tham gia phiên
Một phân tích sâu hơn về các vụ xâm nhập cho thấy kẻ thù đã tìm cách xâm nhập vào máy của bộ phận nhân sự của các tổ chức được nhắm mục tiêu, cho thấy nỗ lực thu thập thông tin về các cá nhân khác nhau làm việc tại các tổ chức đó.
Những phát hiện này là một dấu hiệu khác cho thấy Shuckworm tiếp tục phụ thuộc vào cơ sở hạ tầng tồn tại trong thời gian ngắn và sự phát triển liên tục của các chiến thuật và công cụ để luôn dẫn đầu đường cong phát hiện.
Chúng cũng đến một ngày sau khi Microsoft làm sáng tỏ các cuộc tấn công phá hoại, hoạt động gián điệp và thông tin được thực hiện bởi một tác nhân nhà nước quốc gia Nga khác được gọi là Cadet Blizzard nhắm vào Ukraine.
Symantec cho biết: “Hoạt động này chứng tỏ rằng Shuckworm vẫn tiếp tục tập trung vào Ukraine. “Rõ ràng là các nhóm tấn công do nhà nước Nga hậu thuẫn tiếp tục tấn công các mục tiêu Ukraine nhằm tìm kiếm dữ liệu có khả năng hỗ trợ các hoạt động quân sự của họ.”
