Nhóm APT28 nhắm mục tiêu người dùng UKR-net của Ukraine trong chiến dịch lừa đảo

[T-X]

Nhóm tin tặc được nhà nước Nga bảo trợ có tên APT28 được cho là đã thực hiện một chiến dịch thu thập thông tin đăng nhập "kéo dài" nhắm vào người dùng của UKR[.]net, một dịch vụ email và tin tức phổ biến ở Ukraine.

Hoạt động này, được nhóm Insikt của Recorded Future quan sát từ tháng 6 năm 2024 đến tháng 4 năm 2025, dựa trên những phát hiện trước đó của công ty an ninh mạng này vào tháng 5 năm 2024, trong đó mô tả chi tiết các cuộc tấn công của nhóm tin tặc nhắm vào các mạng lưới châu Âu bằng phần mềm độc hại HeadLace và các trang web thu thập thông tin đăng nhập.

APT28 còn được theo dõi dưới các tên gọi khác như BlueDelta, Fancy Bear, Forest Blizzard, FROZENLAKE, Iron Twilight, ITG05, Pawn Storm, Sednit, Sofacy và TA422. Nhóm này được đánh giá là có liên hệ với Tổng cục Tình báo Quân đội Liên bang Nga (GRU).

Các cuộc tấn công gần đây được đặc trưng bởi việc triển khai các trang đăng nhập theo chủ đề UKR[.]net trên các dịch vụ hợp pháp như Mocky để dụ dỗ người nhận nhập thông tin đăng nhập và mã xác thực hai yếu tố (2FA). Các liên kết đến các trang này được nhúng trong các tài liệu PDF được phân phối qua email lừa đảo.

Các liên kết được rút gọn bằng các dịch vụ như tiny[.]cc hoặc tinyurl[.]com. Trong một số trường hợp, kẻ tấn công cũng được phát hiện sử dụng các tên miền phụ được tạo trên các nền tảng như Blogger (*.blogspot[.]com) để khởi chạy chuỗi chuyển hướng hai cấp dẫn đến trang thu thập thông tin đăng nhập.

Những nỗ lực này là một phần của chuỗi các hoạt động lừa đảo và đánh cắp thông tin đăng nhập rộng lớn hơn do đối thủ dàn dựng từ giữa những năm 2000, nhắm vào các tổ chức chính phủ, nhà thầu quốc phòng, nhà cung cấp vũ khí, các công ty hậu cần và các viện nghiên cứu chính sách nhằm theo đuổi các mục tiêu chiến lược của Nga.

"Mặc dù chiến dịch này không tiết lộ các mục tiêu cụ thể, nhưng việc BlueDelta trước đây tập trung vào đánh cắp thông tin đăng nhập để thu thập thông tin tình báo cho thấy những dấu hiệu mạnh mẽ về ý định thu thập thông tin nhạy cảm từ người dùng Ukraine nhằm hỗ trợ các yêu cầu tình báo rộng hơn của GRU," công ty thuộc sở hữu của Mastercard cho biết trong một báo cáo được chia sẻ với The Hacker News.

Điều đã thay đổi là sự chuyển đổi từ việc sử dụng các bộ định tuyến bị xâm nhập sang các dịch vụ đường hầm proxy như ngrok và Serveo để thu thập và chuyển tiếp thông tin đăng nhập và mã xác thực hai yếu tố bị đánh cắp.

"Việc BlueDelta tiếp tục lạm dụng cơ sở hạ tầng lưu trữ miễn phí và đường hầm ẩn danh có thể phản ánh phản ứng thích ứng trước các chiến dịch triệt phá cơ sở hạ tầng do phương Tây dẫn đầu vào đầu năm 2024," Recorded Future cho biết. "Chiến dịch này làm nổi bật sự quan tâm dai dẳng của GRU trong việc xâm phạm thông tin đăng nhập của người dùng Ukraine để hỗ trợ các hoạt động thu thập thông tin tình báo trong bối cảnh cuộc chiến đang diễn ra của Nga tại Ukraine."