Ngày càng có nhiều kẻ đe dọa sử dụng cuộc chiến Nga-Ukraine đang diễn ra làm mồi nhử trong các chiến dịch lừa đảo và phần mềm độc hại khác nhau, ngay cả khi các thực thể cơ sở hạ tầng quan trọng tiếp tục bị nhắm mục tiêu nhiều.
“Các tác nhân được chính phủ hậu thuẫn từ Trung Quốc, Iran, Triều Tiên và Nga, cũng như các nhóm không được phân bổ khác nhau, đã sử dụng các chủ đề khác nhau liên quan đến chiến tranh Ukraine trong nỗ lực đạt được mục tiêu để mở các email độc hại hoặc nhấp vào các liên kết độc hại”, Nhóm phân tích mối đe dọa của google (TAG) Billy Leonard cho biết trong một báo cáo.
“Các kẻ tội phạm và có động cơ tài chính cũng đang sử dụng các sự kiện hiện tại như một phương tiện để nhắm mục tiêu người dùng,” Leonard nói thêm.
Một trong những mối đe dọa đáng chú ý là Curious Gorge, mà TAG cho là thuộc Lực lượng Hỗ trợ Chiến lược Quân Giải phóng Nhân dân Trung Quốc (PLA SSF) và đã được quan sát thấy tấn công các tổ chức chính phủ, quân đội, hậu cần và sản xuất ở Ukraine, Nga và Trung Á.
Các cuộc tấn công nhằm vào Nga đã chỉ ra một số cơ quan chính phủ, chẳng hạn như Bộ Ngoại giao, với các thỏa hiệp bổ sung ảnh hưởng đến các nhà thầu và nhà sản xuất quốc phòng của Nga cũng như một công ty hậu cần giấu tên.
Các phát hiện sau tiết lộ rằng một kẻ đe dọa được chính phủ tài trợ có liên hệ với Trung Quốc được gọi là Mustang Panda (hay còn gọi là Tổng thống Đồng) có thể đã nhắm mục tiêu vào các quan chức chính phủ Nga bằng một phiên bản cập nhật của trojan truy cập từ xa có tên là PlugX.
Một loạt các cuộc tấn công lừa đảo khác liên quan đến tin tặc APT28 (hay còn gọi là Fancy Bear) nhắm mục tiêu người dùng Ukraine bằng phần mềm độc hại .NET có khả năng đánh cắp cookie và mật khẩu từ các trình duyệt Chrome, Edge và Firefox.
Cũng liên quan đến các nhóm đe dọa có trụ sở tại Nga, bao gồm Turla (hay còn gọi là Venomous Bear) và COLDRIVER (hay còn gọi là Calisto), cũng như một nhóm tấn công người Belarus có tên Ghostwriter trong các chiến dịch lừa đảo bằng chứng xác thực khác nhau nhắm vào các tổ chức quốc phòng và an ninh mạng ở khu vực Baltic và có nguy cơ cao cá nhân ở Ukraine.
Các cuộc tấn công mới nhất của Ghostwriter đã hướng nạn nhân đến các trang web bị xâm nhập, từ đó người dùng được đưa đến một trang web do kẻ tấn công kiểm soát để thu thập thông tin đăng nhập của họ.
Trong một chiến dịch lừa đảo không liên quan nhắm mục tiêu đến các thực thể ở các quốc gia Đông Âu, một nhóm tấn công chưa được biết đến trước đây và có động cơ tài chính đã bị phát hiện mạo danh một cơ quan của Nga để triển khai một cửa hậu JavaScript có tên là DarkWatchman trên các máy tính bị nhiễm độc.
IBM Security X-Force đã kết nối các cuộc xâm nhập với một cụm mối đe dọa mà nó đang theo dõi dưới biệt danh Hive0117.
Công ty cho biết: “Chiến dịch giả mạo là thông tin liên lạc chính thức từ Dịch vụ Thừa phát lại Liên bang của Chính phủ Nga, các email bằng tiếng Nga được gửi tới người dùng ở Lithuania, Estonia và Nga trong các lĩnh vực Viễn thông, Điện tử và Công nghiệp”.
Phát hiện này được đưa ra khi Microsoft tiết lộ rằng sáu bên liên kết với Nga khác nhau đã thực hiện ít nhất 237 cuộc tấn công mạng chống lại Ukraine từ ngày 23 tháng 2 đến ngày 8 tháng 4, bao gồm 38 cuộc tấn công phá hoại riêng lẻ đã phá hủy không thể thu hồi các tệp trong hàng trăm hệ thống của hàng chục tổ chức ở nước này.
Căng thẳng địa chính trị và cuộc xâm lược quân sự tiếp theo vào Ukraine cũng đã làm gia tăng sự leo thang trong các cuộc tấn công xóa dữ liệu nhằm làm tê liệt các quy trình quan trọng của sứ mệnh và phá hủy bằng chứng pháp y.
Hơn nữa, Nhóm Ứng cứu Khẩn cấp Máy tính của Ukraine (CERT-UA) đã tiết lộ chi tiết về các cuộc tấn công từ chối dịch vụ (DDoS) phân tán đang diễn ra nhằm vào chính phủ và các cổng thông tin bằng cách đưa JavaScript độc hại (được gọi là “BrownFlood”) vào các trang web bị xâm nhập.
Các cuộc tấn công DDoS cũng đã được báo cáo bên ngoài lãnh thổ Ukraine. Tuần trước, Tổng cục An ninh mạng Quốc gia Romania (DNSC) tiết lộ rằng một số trang web thuộc các tổ chức công và tư đã bị “nhắm mục tiêu bởi những kẻ tấn công nhằm làm cho các dịch vụ trực tuyến này không khả dụng.”
Các cuộc tấn công, được tuyên bố bởi một tập thể thân Nga có tên Killnet, nhằm đáp trả quyết định của Romania hỗ trợ Ukraine trong cuộc xung đột quân sự với Nga.
.
