Tin tặc Gamaredon của Nga đã nhắm mục tiêu vào ‘Tổ chức chính phủ phương Tây’ ở Ukraine

Tin tặc Gamaredon của Nga

Nhóm hack Gamaredon có liên hệ với Nga đã cố gắng xâm nhập một tổ chức chính phủ phương Tây giấu tên hoạt động ở Ukraine vào tháng trước trong bối cảnh căng thẳng địa chính trị giữa hai nước đang diễn ra.

Nhóm tình báo về mối đe dọa thuộc Đơn vị 42 của Palo Alto Networks, trong một báo cáo mới được công bố vào ngày 3 tháng 2, nói rằng cuộc tấn công lừa đảo diễn ra vào ngày 19 tháng 1, thêm vào đó nó đã “vạch ra ba cụm cơ sở hạ tầng lớn của họ được sử dụng để hỗ trợ các mục đích lừa đảo và phần mềm độc hại khác nhau. “

Kẻ đe dọa, còn được gọi là Shuckworm, Armageddon, hoặc Primitive Bear, trong lịch sử đã tập trung các cuộc nhằm vào các quan chức và tổ chức chính phủ Ukraine kể từ năm 2013. Năm ngoái, Ukraine đã tiết lộ mối quan hệ của tập thể với Cơ quan An ninh Liên bang Nga (FSB).

Để thực hiện cuộc tấn công lừa đảo, những người điều hành chiến dịch đã tận dụng nền tảng tìm kiếm việc làm và việc làm trong nước như một đường dẫn để tải lên trình tải xuống phần mềm độc hại của họ dưới dạng sơ yếu lý lịch cho một danh sách việc làm đang hoạt động liên quan đến thực thể được nhắm mục tiêu.

“Với các bước và phân phối chính xác liên quan đến chiến dịch này, có vẻ như đây có thể là một nỗ lực cụ thể, có chủ ý của Gamaredon nhằm thỏa hiệp với tổ chức chính phủ phương Tây này”, các nhà nghiên cứu lưu ý.

Xem tiếp:   Lỗi 4 năm tuổi trong dịch vụ ứng dụng Azure đã làm lộ hàng trăm kho mã nguồn

Tin tặc Gamaredon của Nga

Ngoài ra, Đơn vị 42 đã phát hiện ra bằng chứng về một chiến dịch Gamaredon nhắm mục tiêu vào Dịch vụ Di cư Nhà nước (SMS) của Ukraine vào ngày 1 tháng 12 năm 2021, đơn vị này đã sử dụng tài liệu Word làm mồi nhử để cài đặt phần mềm máy tính mạng ảo UltraVNC (VNC) mở để duy trì truy cập từ xa vào máy tính bị nhiễm.

Các nhà nghiên cứu cho biết: “Các tác nhân của Gamaredon theo đuổi một cách tiếp cận thú vị khi nói đến việc xây dựng và duy trì cơ sở hạ tầng của họ. “Hầu hết các tác nhân chọn loại bỏ các miền sau khi sử dụng chúng trong một chiến dịch mạng để tránh xa bất kỳ sự phân bổ nào có thể xảy ra. Tuy nhiên, cách tiếp cận của Gamaredon rất độc đáo ở chỗ họ dường như tái chế các miền của mình bằng cách luân phiên chúng trên cơ sở hạ tầng mới một cách nhất quán.”

Tổng hợp lại, cơ sở hạ tầng tấn công trải dài trên không ít hơn 700 tên miền giả mạo, 215 địa chỉ IP và hơn 100 mẫu phần mềm độc hại, với các cụm được sử dụng để lưu trữ các tài liệu vũ khí hóa được thiết kế để thực thi mã độc khi được mở và phục vụ như lệnh-và- kiểm soát các máy chủ cho trojan truy cập từ xa Pterodo (hay còn gọi là Pteranodon) của nó.

Xem tiếp:   Tin tặc APT của Trung Quốc đã sử dụng hành vi khai thác Log4Shell để nhắm mục tiêu vào tổ chức học thuật

Các phát hiện được đưa ra chưa đầy một tuần sau khi Symantec thuộc sở hữu của Broadcom tiết lộ chi tiết về một cuộc tấn công khác do cùng một nhóm dàn dựng từ tháng 7 đến tháng 8 năm 2021 nhằm vào một tổ chức Ukraine không xác định để triển khai Pterodo RAT cho các hoạt động sau khai thác.

.

Related Posts

Check Also

Lỗ hổng BMC nghiêm trọng ‘sự cố’ ảnh hưởng đến máy chủ QCT được sử dụng trong trung tâm dữ liệu

Theo một nghiên cứu mới được công bố hôm nay, các máy chủ của Công …