VietNetwork.Vn

Các cơ quan tình báo và an ninh mạng Hoa Kỳ đã chỉ đích danh một nhóm tin tặc Iran đã xâm nhập nhiều tổ chức trên khắp cả nước và phối hợp với các chi nhánh để phát tán phần mềm tống tiền.

Hoạt động này có liên quan đến một tác nhân đe dọa có tên là Pioneer Kitten, còn được gọi là Fox Kitten, Lemon Sandstorm (trước đây là Rubidium), Parisite và UNC757, được mô tả là có liên quan đến chính phủ Iran và sử dụng một công ty công nghệ thông tin (IT) của Iran, Danesh Novin Sahand, có khả năng làm vỏ bọc.


"Các hoạt động mạng độc hại của chúng nhằm mục đích triển khai các cuộc tấn công ransomware để có được và phát triển quyền truy cập mạng", Cơ quan An ninh mạng và Cơ sở hạ tầng (CISA), Cục Điều tra Liên bang (FBI) và Trung tâm Tội phạm mạng của Bộ Quốc phòng (DC3) cho biết. "Các hoạt động này hỗ trợ các tác nhân mạng độc hại tiếp tục hợp tác với các tác nhân liên kết để tiếp tục triển khai ransomware".

Mục tiêu của các cuộc tấn công bao gồm các lĩnh vực giáo dục, tài chính, chăm sóc sức khỏe và quốc phòng, cũng như các tổ chức chính quyền địa phương tại Hoa Kỳ. Các cuộc xâm nhập cũng được báo cáo ở Israel, Azerbaijan và Các Tiểu vương quốc Ả Rập Thống nhất (UAE) nhằm đánh cắp dữ liệu nhạy cảm.

Mục tiêu, các cơ quan đánh giá, là có được chỗ đứng ban đầu trong mạng lưới nạn nhân và sau đó hợp tác với các tác nhân liên kết với phần mềm tống tiền có liên quan đến NoEscape, RansomHouse và BlackCat (hay còn gọi là ALPHV) để triển khai phần mềm độc hại mã hóa tệp để đổi lấy một phần lợi nhuận bất hợp pháp, trong khi vẫn giữ quốc tịch và nguồn gốc của chúng "một cách cố ý mơ hồ".

Các nỗ lực tấn công được cho là đã bắt đầu từ năm 2017 và vẫn đang tiếp diễn cho đến tận tháng này. Những kẻ đe dọa, cũng sử dụng biệt danh trực tuyến Br0k3r và xplfinder, đã được phát hiện kiếm tiền từ việc tiếp cận các tổ chức nạn nhân trên các thị trường ngầm, nhấn mạnh đến những nỗ lực đa dạng hóa nguồn doanh thu của chúng.

"Một tỷ lệ đáng kể hoạt động mạng tập trung vào Hoa Kỳ của nhóm này là để thúc đẩy việc có được và duy trì quyền truy cập kỹ thuật vào mạng lưới của nạn nhân để cho phép các cuộc tấn công ransomware trong tương lai", các cơ quan lưu ý. "Những kẻ tấn công cung cấp đầy đủ các đặc quyền kiểm soát miền, cũng như thông tin xác thực quản trị miền, cho nhiều mạng lưới trên toàn thế giới".

"Sự tham gia của các tác nhân mạng Iran vào các cuộc tấn công ransomware này không chỉ dừng lại ở việc cung cấp quyền truy cập; chúng còn hợp tác chặt chẽ với các chi nhánh ransomware để khóa mạng nạn nhân và lập chiến lược tiếp cận để tống tiền nạn nhân."

Quyền truy cập ban đầu được thực hiện bằng cách tận dụng các dịch vụ bên ngoài từ xa trên các tài sản kết nối internet dễ bị tấn công bởi các lỗ hổng đã được tiết lộ trước đó ( CVE-2019-19781, CVE-2022-1388, CVE-2023-3519, CVE-2024-3400 và CVE-2024-24919 ), sau đó là một loạt các bước để duy trì, nâng cao đặc quyền và thiết lập quyền truy cập từ xa thông qua các công cụ như AnyDesk hoặc công cụ đường hầm Ligolo nguồn mở.

Các hoạt động ransomware do nhà nước Iran tài trợ không phải là hiện tượng mới. Vào tháng 12 năm 2020, các công ty an ninh mạng Check Point và ClearSky đã nêu chi tiết về chiến dịch hack-and-leak Pioneer Kitten có tên Pay2Key, cụ thể là nhắm vào hàng chục công ty Israel bằng cách khai thác các lỗ hổng bảo mật đã biết.


"Bản thân khoản tiền chuộc dao động từ bảy đến chín Bitcoin (với một vài trường hợp kẻ tấn công đã được thương lượng xuống còn ba Bitcoin)", công ty lưu ý vào thời điểm đó. "Để gây áp lực buộc nạn nhân phải trả tiền, trang web rò rỉ của Pay2Key hiển thị thông tin nhạy cảm bị đánh cắp từ các tổ chức mục tiêu và đưa ra lời đe dọa sẽ tiếp tục rò rỉ nếu nạn nhân tiếp tục trì hoãn thanh toán".

Theo các tài liệu bị rò rỉ bởi Lab Dookhtegan vào đầu năm 2021, một số cuộc tấn công bằng phần mềm tống tiền cũng được cho là được thực hiện thông qua một công ty thầu của Iran có tên là Emennet Pasargad.

Tiết lộ này cho thấy hình ảnh của một nhóm linh hoạt hoạt động vì cả mục đích tống tiền và gián điệp mạng, gia nhập các nhóm tin tặc có mục đích kép khác như ChamelGang và Moonstone Sleet.

1. Peach Sandstorm phát tán phần mềm độc hại Tickler trong chiến dịch kéo dài

Diễn biến này diễn ra trong bối cảnh Microsoft cho biết họ đã quan sát thấy tác nhân đe dọa do nhà nước Iran tài trợ Peach Sandstorm (hay còn gọi là APT33, Curious Serpens, Elfin và Refined Kitten) triển khai một cửa hậu tùy chỉnh nhiều giai đoạn mới được gọi là Tickler trong các cuộc tấn công nhằm vào các mục tiêu trong vệ tinh, thiết bị truyền thông, dầu khí cũng như các khu vực chính phủ liên bang và tiểu bang tại Hoa Kỳ và UAE từ tháng 4 đến tháng 7 năm 2024.


Nhóm Microsoft Threat Intelligence cho biết : "Peach Sandstorm cũng tiếp tục thực hiện các cuộc tấn công rải mật khẩu vào lĩnh vực giáo dục để mua sắm cơ sở hạ tầng và vào các lĩnh vực vệ tinh, chính phủ và quốc phòng là mục tiêu chính để thu thập thông tin tình báo", đồng thời nói thêm rằng họ đã phát hiện ra hoạt động thu thập thông tin tình báo và khả năng thực hiện kỹ thuật xã hội nhắm vào các lĩnh vực giáo dục đại học, vệ tinh và quốc phòng thông qua LinkedIn.

Những nỗ lực trên nền tảng mạng lưới chuyên nghiệp này, bắt đầu từ ít nhất tháng 11 năm 2021 và tiếp tục đến giữa năm 2024, được thể hiện dưới dạng hồ sơ giả mạo đóng vai sinh viên, nhà phát triển và quản lý tuyển dụng nhân tài có trụ sở tại Hoa Kỳ và Tây Âu.

Các cuộc tấn công phun mật khẩu đóng vai trò như một kênh dẫn cho cửa hậu nhiều giai đoạn tùy chỉnh của Tickler, đi kèm với khả năng tải xuống các dữ liệu bổ sung từ cơ sở hạ tầng Microsoft Azure do đối thủ kiểm soát, thực hiện các hoạt động tệp và thu thập thông tin hệ thống.

Một số cuộc tấn công đáng chú ý là sử dụng ảnh chụp nhanh Active Directory (AD) để thực hiện các hành động quản trị độc hại, Server Message Block (SMB) để di chuyển ngang và phần mềm giám sát và quản lý từ xa (RMM) AnyDesk để truy cập từ xa liên tục.

Microsoft cho biết: "Sự tiện lợi và hữu ích của một công cụ như AnyDesk được tăng cường bởi thực tế là nó có thể được các biện pháp kiểm soát ứng dụng cho phép trong môi trường mà nhân viên hỗ trợ CNTT hoặc quản trị viên hệ thống sử dụng hợp pháp".

Peach Sandstorm được đánh giá là hoạt động thay mặt cho Lực lượng Vệ binh Cách mạng Hồi giáo Iran (IRGC). Nhóm này được biết là đã hoạt động trong hơn một thập kỷ, thực hiện các cuộc tấn công gián điệp vào nhiều mục tiêu khác nhau của khu vực công và tư trên toàn cầu. Các cuộc xâm nhập gần đây nhắm vào khu vực quốc phòng cũng đã triển khai một backdoor khác có tên là FalseFont.

2. Hoạt động phản gián của Iran sử dụng mồi nhử HR để thu thập thông tin tình báo

Trong bằng chứng về các hoạt động ngày càng mở rộng của Iran trên không gian mạng, Mandiant thuộc sở hữu của Google cho biết họ đã phát hiện ra một nỗ lực phản gián bị nghi ngờ có liên quan đến Iran nhằm thu thập dữ liệu về người Iran và các mối đe dọa trong nước có thể đang hợp tác với các đối thủ mà họ cho là kẻ thù, bao gồm cả Israel.

"Dữ liệu thu thập được có thể được sử dụng để phát hiện các hoạt động tình báo của con người (HUMINT) được tiến hành chống lại Iran và để truy tố bất kỳ người Iran nào bị nghi ngờ có liên quan đến các hoạt động này", các nhà nghiên cứu Ofir Rozmann, Asli Koksal và Sarah Bock của Mandiant cho biết. "Những người này có thể bao gồm những người bất đồng chính kiến, nhà hoạt động, người ủng hộ nhân quyền và người nói tiếng Farsi sống trong và ngoài Iran".


Công ty cho biết hoạt động này có "điểm trùng lặp yếu" với APT42 và phù hợp với thành tích của IRGC trong việc tiến hành các hoạt động giám sát chống lại các mối đe dọa trong nước và các cá nhân mà chính phủ Iran quan tâm. Chiến dịch này đã diễn ra từ năm 2022.

Xương sống của vòng đời tấn công là mạng lưới hơn 40 trang web tuyển dụng giả mạo các công ty nhân sự của Israel sau đó phát tán qua các kênh truyền thông xã hội như X và Virasty để lừa nạn nhân tiềm năng chia sẻ thông tin cá nhân của họ (tức là tên, ngày sinh, email, địa chỉ nhà, trình độ học vấn và kinh nghiệm chuyên môn).

Các trang web giả mạo này, đóng giả là Optima HR và Kandovan HR, nêu mục đích được cho là của chúng là "tuyển dụng nhân viên và sĩ quan của các tổ chức tình báo và an ninh của Iran" và có tên người dùng Telegram đề cập đến Israel (IL) trong tên người dùng của chúng (ví dụ: Phantom IL 13 và getDm IL ).

Mandian cho biết thêm, việc phân tích sâu hơn các trang web Optima HR đã dẫn đến việc phát hiện ra một nhóm các trang web tuyển dụng giả mạo trước đây nhắm vào những người nói tiếng Ba Tư và tiếng Ả Rập có liên hệ với Syria và Lebanon (Hezbollah) thuộc một công ty nhân sự khác có tên là VIP Human Solutions từ năm 2018 đến năm 2022.

Mandiant cho biết: "Chiến dịch này triển khai trên diện rộng bằng cách hoạt động trên nhiều nền tảng truyền thông xã hội để phát tán mạng lưới các trang web nhân sự giả mạo nhằm vạch trần những cá nhân nói tiếng Ba Tư có thể đang làm việc với các cơ quan tình báo và an ninh và do đó bị coi là mối đe dọa đối với chế độ Iran".