CERT-UA xác định các tệp RDP độc hại trong cuộc tấn công mới vào Ukraine

Copilot · T.Mười 26, 2024, 04:15:13 CHIỀU

Đội ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã nêu chi tiết về một chiến dịch email độc hại mới nhắm vào các cơ quan chính phủ, doanh nghiệp và quân đội.

"Các tin nhắn khai thác sức hấp dẫn của việc tích hợp các dịch vụ phổ biến như Amazon hoặc Microsoft và triển khai kiến trúc zero-trust", CERT-UA cho biết. "Những email này chứa các tệp đính kèm dưới dạng tệp cấu hình Giao thức máy tính từ xa ('.rdp')".

Sau khi thực thi, các tệp RDP sẽ thiết lập kết nối với máy chủ từ xa, cho phép kẻ tấn công truy cập từ xa vào các máy chủ bị xâm phạm, đánh cắp dữ liệu và cài thêm phần mềm độc hại để tấn công tiếp theo.

Người ta tin rằng hoạt động này đã được chuẩn bị về mặt cơ sở hạ tầng từ ít nhất tháng 8 năm 2024, trong đó cơ quan này tuyên bố rằng có khả năng hoạt động này sẽ lan ra khỏi Ukraine và nhắm tới các quốc gia khác.

CERT-UA đã quy kết chiến dịch này cho một tác nhân đe dọa mà họ theo dõi là UAC-0215. Amazon Web Service (AWS), trong một khuyến cáo của riêng mình, đã liên kết chiến dịch này với nhóm tin tặc quốc gia Nga được gọi là APT29.

"Một số tên miền mà chúng sử dụng đã cố gắng đánh lừa mục tiêu tin rằng các tên miền đó là tên miền AWS (thực tế không phải vậy), nhưng Amazon không phải là mục tiêu, cũng như nhóm sau khi lấy được thông tin đăng nhập của khách hàng AWS", CJ Moses, giám đốc an ninh thông tin của Amazon, cho biết. "Thay vào đó, APT29 đã tìm kiếm thông tin đăng nhập Windows của mục tiêu thông qua Microsoft Remote Desktop".

Gã khổng lồ công nghệ cho biết họ cũng đã tịch thu các tên miền mà kẻ thù đang sử dụng để mạo danh AWS nhằm vô hiệu hóa hoạt động này. Một số tên miền mà APT29 sử dụng được liệt kê dưới đây -

Diễn biến này diễn ra khi CERT-UA cũng cảnh báo về một cuộc tấn công mạng quy mô lớn nhằm đánh cắp thông tin mật của người dùng Ukraine. Mối đe dọa này được lập danh mục dưới biệt danh UAC-0218.

Điểm khởi đầu của cuộc tấn công là một email lừa đảo có chứa liên kết đến tệp tin RAR được cho là chứa hóa đơn hoặc thông tin thanh toán.

Có trong kho lưu trữ là phần mềm độc hại dựa trên Visual Basic Script có tên là HOMESTEEL được thiết kế để truyền các tệp có phần mở rộng nhất định ("xls," "xlsx," "doc," "docx," "pdf," "txt," "csv," "rtf," "ods," "odt," "eml," "pst," "rar" và "zip") đến máy chủ do kẻ tấn công kiểm soát.

CERT-UA cho biết : "Bằng cách này, bọn tội phạm có thể truy cập vào dữ liệu cá nhân, tài chính và các dữ liệu nhạy cảm khác và sử dụng chúng để tống tiền hoặc trộm cắp".

Hơn nữa, CERT-UA đã cảnh báo về một chiến dịch theo kiểu ClickFix được thiết kế để lừa người dùng nhấp vào các liên kết độc hại được nhúng trong email để thả một tập lệnh PowerShell có khả năng thiết lập đường hầm SSH, đánh cắp dữ liệu từ trình duyệt web và tải xuống cũng như khởi chạy nền tảng kiểm tra xâm nhập Metasploit.

Người dùng nhấp vào liên kết sẽ được chuyển hướng đến trang xác minh reCAPTCHA giả mạo, yêu cầu họ xác minh danh tính của mình bằng cách nhấp vào nút. Hành động này sao chép tập lệnh PowerShell độc hại ("Browser.ps1") vào bảng tạm của người dùng và hiển thị cửa sổ bật lên có hướng dẫn thực thi tập lệnh bằng hộp thoại Run trong Windows.

CERT-UA cho biết họ có "mức độ tin cậy trung bình" rằng chiến dịch này là tác phẩm của một nhóm tin tặc tiên tiến khác của Nga có tên là APT28 (hay còn gọi là UAC-0001).

Các cuộc tấn công mạng nhằm vào Ukraine diễn ra trong bối cảnh Bloomberg đưa tin chi tiết về cách cơ quan tình báo quân sự Nga và Cơ quan An ninh Liên bang (FSB) đã nhắm mục tiêu một cách có hệ thống vào cơ sở hạ tầng và chính phủ Georgia như một phần của một loạt các cuộc xâm nhập kỹ thuật số từ năm 2017 đến năm 2020. Một số cuộc tấn công đã được đổ lỗi cho Turla.

VietNetwork.Vn

Tìm kiếm