Hôm thứ Năm, Microsoft tiết lộ rằng họ đã nhận được lệnh của tòa án để kiểm soát bảy miền được sử dụng bởi APT28, một nhóm được nhà nước bảo trợ do cơ quan tình báo quân sự của Nga điều hành, với mục tiêu vô hiệu hóa các cuộc tấn công của họ vào Ukraine.
“Kể từ đó, chúng tôi đã chuyển hướng các miền này đến một hố sụt do Microsoft kiểm soát, cho phép chúng tôi giảm thiểu việc sử dụng các miền này hiện tại của Strontium và kích hoạt thông báo nạn nhân”, Tom Burt, Phó chủ tịch công ty về bảo mật và tin cậy khách hàng của Microsoft, cho biết.
APT28, còn được biết đến với các tên Sofacy, Sednit, Pawn Storm, Fancy Bear, Iron Twilight và Strontium, là một nhóm gián điệp mạng và là một mối đe dọa dai dẳng tiên tiến đã hoạt động từ năm 2009, gây chấn động truyền thông, chính phủ, quân đội và quốc tế các tổ chức phi chính phủ (NGO) thường chú trọng đến vấn đề an ninh.
Gã khổng lồ công nghệ lưu ý rằng cơ sở hạ tầng hố sụt đã được kẻ đe dọa sử dụng để nhắm mục tiêu vào các tổ chức cũng như chính phủ Ukraine và các tổ chức tư vấn ở Mỹ và Liên minh châu Âu để duy trì quyền truy cập liên tục lâu dài và lọc thông tin nhạy cảm.
Meta hành động chống lại Ghostwriter và Phosphorus
Tiết lộ từ Microsoft đến khi Meta, công ty trước đây được gọi là Facebook, tiết lộ rằng họ đã hành động chống lại các mạng đối thủ bí mật có nguồn gốc từ Azerbaijan và Iran trên nền tảng của mình, bằng cách gỡ bỏ các tài khoản và chặn các miền của họ được chia sẻ.
Hoạt động của Azerbaijan được cho là đã chỉ ra các nhà hoạt động dân chủ, các nhóm đối lập, các nhà báo trong nước và những người chỉ trích chính phủ ở nước ngoài vì đã thực hiện các hoạt động gián điệp và lừa đảo qua thông tin xác thực.
Một tổ chức khác có liên quan đến UNC788 (hay còn gọi là Charming Kitten, TA453, hoặc Phosphorus), một nhóm tấn công liên kết với chính phủ có lịch sử thực hiện các hoạt động giám sát nhằm hỗ trợ các ưu tiên chiến lược của Iran.
“Nhóm này đã sử dụng kết hợp các tài khoản giả có độ tinh vi thấp và các nhân vật hư cấu phức tạp hơn, mà họ có thể sử dụng để xây dựng lòng tin với các mục tiêu tiềm năng và lừa họ nhấp vào các liên kết lừa đảo hoặc tải xuống các ứng dụng độc hại”, Meta nêu rõ trong Mối đe dọa đối thủ hàng quý đầu tiên. Báo cáo.
Các ứng dụng Android độc hại, có tên là HilalRAT, đã mạo danh các ứng dụng Kinh Qur'an dường như vô hại để trích xuất thông tin nhạy cảm, chẳng hạn như danh sách liên hệ, tin nhắn văn bản, tệp, thông tin vị trí, cũng như kích hoạt máy ảnh và micrô.
Meta cũng cho biết họ đã chặn các hoạt động độc hại liên quan đến một nhóm tấn công không được báo cáo của Iran sử dụng các chiến thuật tương tự như của Tortoiseshell để nhắm mục tiêu hoặc giả mạo các công ty trong ngành năng lượng, CNTT, hậu cần hàng hải, bán dẫn và viễn thông.
Chiến dịch này giới thiệu một loạt hồ sơ giả trên Instagram, LinkedIn, Facebook và Twitter, với các diễn viên đóng giả là nhà tuyển dụng của các công ty bình thường và thực để lừa người dùng nhấp vào các liên kết lừa đảo để cung cấp phần mềm độc hại đánh cắp thông tin được ngụy trang dưới dạng VPN, máy tính , sách nói và ứng dụng nhắn tin.
Meta giải thích: “Họ đã phát triển phần mềm độc hại trên nền tảng ảo hóa VMWare ThinApp, cho phép họ chạy nó trên nhiều hệ thống khác nhau và giữ lại phần mềm độc hại cho đến phút cuối cùng, khiến việc phát hiện phần mềm độc hại trở nên khó khăn hơn,” Meta giải thích.
Cuối cùng, cũng bị Meta làm gián đoạn là các nỗ lực tiếp quản của nhóm Ghostwriter liên kết với Belarus để đột nhập vào tài khoản Facebook của hàng chục quân nhân Ukraine.
Các cuộc tấn công, thành công trong một số “trường hợp”, đã lạm dụng quyền truy cập vào tài khoản mạng xã hội của nạn nhân và đăng thông tin sai lệch “kêu gọi Quân đội đầu hàng như thể những bài đăng này đến từ chủ sở hữu tài khoản hợp pháp.”
.
