Ngày 26 tháng 1 năm 2023Ravie Lakshmanan Đe dọa mạng / Lừa đảo
Ít nhất hai cơ quan liên bang ở Hoa Kỳ đã trở thành nạn nhân của một “chiến dịch mạng lan rộng” liên quan đến việc sử dụng phần mềm quản lý và giám sát từ xa (RMM) hợp pháp để duy trì hành vi lừa đảo.
“Cụ thể, những kẻ tội phạm mạng đã gửi email lừa đảo dẫn đến việc tải xuống phần mềm RMM hợp pháp – ScreenConnect (nay là ConnectWise Control) và AnyDesk – mà những kẻ tội phạm đã sử dụng trong một vụ lừa đảo hoàn tiền để đánh cắp tiền từ tài khoản ngân hàng của nạn nhân,” cơ quan an ninh mạng Hoa Kỳ cho biết.
Lời khuyên chung đến từ Cơ quan An ninh Cơ sở hạ tầng và An ninh Mạng (CISA), Cơ quan An ninh Quốc gia (NSA) và Trung tâm Phân tích và Chia sẻ Thông tin Đa Bang (MS-ISAC).
Các cuộc tấn công diễn ra vào giữa tháng 6 và giữa tháng 9 năm 2022, có động cơ tài chính, mặc dù những kẻ đe dọa có thể vũ khí hóa quyền truy cập trái phép để tiến hành nhiều hoạt động, bao gồm cả việc bán quyền truy cập đó cho các nhóm tin tặc khác.
Việc sử dụng phần mềm từ xa của các nhóm tội phạm từ lâu đã là mối quan tâm vì nó cung cấp một con đường hiệu quả để thiết lập quyền truy cập của người dùng cục bộ trên máy chủ mà không cần nâng cao đặc quyền hoặc giành được chỗ đứng bằng các phương tiện khác.
Trong một trường hợp, những kẻ đe dọa đã gửi một email lừa đảo có chứa số điện thoại đến địa chỉ email chính phủ của một nhân viên, đưa cá nhân đó đến một miền độc hại. CISA cho biết các email này là một phần của các cuộc tấn công kỹ thuật xã hội theo chủ đề bàn trợ giúp do các tác nhân đe dọa dàn dựng kể từ ít nhất là tháng 6 năm 2022 nhắm vào các nhân viên liên bang.
Các tin nhắn liên quan đến đăng ký có chứa miền lừa đảo “giai đoạn đầu” hoặc tham gia vào một chiến thuật được gọi là lừa đảo gọi lại để lôi kéo người nhận gọi đến số điện thoại do diễn viên kiểm soát để truy cập vào cùng một miền.
Bất kể phương pháp được sử dụng là gì, miền độc hại sẽ kích hoạt tải xuống tệp nhị phân, sau đó kết nối với miền cấp hai để truy xuất phần mềm RMM ở dạng tệp thực thi di động.
Mục tiêu cuối cùng là tận dụng phần mềm RMM để bắt đầu lừa đảo hoàn tiền. Điều này đạt được bằng cách hướng dẫn các nạn nhân đăng nhập vào tài khoản ngân hàng của họ, sau đó các tác nhân sửa đổi bản tóm tắt tài khoản ngân hàng để làm cho nó có vẻ như cá nhân đã được hoàn trả nhầm một số tiền vượt quá.
Ở bước cuối cùng, những kẻ điều hành lừa đảo thúc giục người nhận email hoàn lại số tiền bổ sung, lừa đảo tiền của họ một cách hiệu quả.
CISA cho rằng hoạt động này là do một “hoạt động trojan lớn” do công ty an ninh mạng Silent Push tiết lộ vào tháng 10 năm 2022. Điều đó nói rằng, các phương pháp phân phối tấn công theo hướng điện thoại tương tự đã được các tác nhân khác áp dụng, bao gồm cả Luna Moth (hay còn gọi là Silent Ransom).
“Chiến dịch này nêu bật mối đe dọa của hoạt động mạng độc hại liên quan đến phần mềm RMM hợp pháp: sau khi có quyền truy cập vào mạng mục tiêu thông qua lừa đảo hoặc các kỹ thuật khác, các tác nhân mạng độc hại — từ tội phạm mạng đến APT do nhà nước tài trợ — được biết là sử dụng phần mềm RMM hợp pháp như một cửa hậu để kiên trì và/hoặc chỉ huy và kiểm soát (C2)”, các cơ quan cảnh báo.
