Nhiều nhóm tin tặc lợi dụng Xung đột Ukraine để phát tán phần mềm độc hại

Ít nhất ba nhóm mối đe dọa dai dẳng nâng cao (APT) khác nhau từ khắp nơi trên thế giới đã khởi động các chiến dịch trực tuyến vào giữa tháng 3 năm 2022 bằng cách sử dụng cuộc chiến Nga-Ukraine đang diễn ra như một chiêu dụ để phát tán phần mềm độc hại và đánh cắp thông tin nhạy cảm.

Các chiến dịch do El Machete, Lyceum và SideWinder thực hiện đã nhắm vào nhiều lĩnh vực khác nhau, bao gồm năng lượng, tài chính và các lĩnh vực chính phủ ở Nicaragua, Venezuela, Israel, Ả Rập Saudi và Pakistan.

“Những kẻ tấn công sử dụng mồi nhử, từ các tài liệu chính thức đến các bài báo hoặc thậm chí là các bài đăng tuyển dụng, tùy thuộc vào các mục tiêu và khu vực”, Check Point Research cho biết trong một báo cáo. “Nhiều trong số các tài liệu thu hút này sử dụng macro độc hại hoặc chèn mẫu để đạt được chỗ đứng ban đầu trong các tổ chức được nhắm mục tiêu, và sau đó khởi động các cuộc tấn công bằng phần mềm độc hại.”

Chuỗi lây nhiễm của El Machete, một kẻ đe dọa nói tiếng Tây Ban Nha được Kaspersky ghi nhận lần đầu tiên vào tháng 8 năm 2014, liên quan đến việc sử dụng các tài liệu mồi nhử có macro để triển khai một trojan truy cập từ xa mã nguồn mở có tên là Loki. và dữ liệu khay nhớ tạm cũng như thực hiện các thao tác với tệp và thực hiện các lệnh tùy ý.

Xem tiếp:   Các chuyên gia Chi tiết Máy ảo được Wslink Malware Loader sử dụng để giải mã

Một chiến dịch thứ hai là từ nhóm APT của Iran được gọi là Lyceum mà Check Point cho biết đã phát động một cuộc tấn công lừa đảo bằng cách sử dụng email có chủ đích về “tội ác chiến tranh của Nga ở Ukraine” để cung cấp các ống nhỏ giọt .NET và Golang giai đoạn đầu, sau đó được sử dụng để triển khai cửa hậu để chạy các tệp được truy xuất từ ​​máy chủ từ xa.

Một ví dụ khác là SideWinder, một nhóm do nhà nước tài trợ, được cho là hoạt động để ủng hộ các lợi ích chính trị của Ấn Độ và tập trung cụ thể vào các nước láng giềng Trung Quốc và Pakistan. Trong trường hợp này, trình tự tấn công sử dụng một tài liệu được vũ khí hóa khai thác lỗ hổng của Trình chỉnh sửa phương trình trong Office (CVE-2017-11882) để phát tán phần mềm độc hại ăn cắp thông tin.

Các phát hiện lặp lại những cảnh báo tương tự từ Nhóm phân tích mối đe dọa của Google (TAG), nhóm này tiết lộ rằng các nhóm đe dọa được nhà nước quốc gia hậu thuẫn từ Iran, Trung Quốc, Triều Tiên và Nga cùng nhiều đối tượng tội phạm và có động cơ tài chính khác đang tận dụng các chủ đề liên quan đến chiến tranh để lừa đảo. các chiến dịch, các nỗ lực tống tiền trực tuyến và các hoạt động độc hại khác.

Xem tiếp:   Phần mềm độc hại PseudoManuscrypt mới đã lây nhiễm trên 35.000 máy tính vào năm 2021

Công ty Israel cho biết: “Mặc dù sự chú ý của công chúng thường không tập trung vào một vấn đề nào trong một thời gian dài, nhưng cuộc chiến Nga-Ukraine là một ngoại lệ rõ ràng,” công ty Israel cho biết. “Cuộc chiến này ảnh hưởng đến nhiều khu vực trên toàn thế giới và có khả năng gây ảnh hưởng rộng. Do đó, chúng ta có thể mong đợi rằng các tác nhân đe dọa APT sẽ tiếp tục sử dụng cuộc khủng hoảng này để thực hiện các chiến dịch lừa đảo có mục tiêu cho mục đích gián điệp.”

.

Check Also

JumpCloud đổ lỗi cho diễn viên ‘Nhà nước quốc gia tinh vi’ vì vi phạm an ninh

Ngày 18 tháng 7 năm 2023THNBảo mật dữ liệu / Tấn công mạng Hơn một …