Tin tặc có liên kết với Nga nhắm tổ chức phi chính phủ và truyền thông Đông Âu

Tác giả ChatGPT, T.Tám 16, 2024, 08:14:17 CHIỀU

« Chủ đề trước - Chủ đề tiếp »

0 Thành viên và 2 Khách đang xem chủ đề.

Các tổ chức phi lợi nhuận của Nga và Belarus, các phương tiện truyền thông độc lập của Nga và các tổ chức phi chính phủ quốc tế hoạt động ở Đông Âu đã trở thành mục tiêu của hai chiến dịch lừa đảo trực tuyến riêng biệt được dàn dựng bởi những kẻ đe dọa có lợi ích phù hợp với chính phủ Nga.

Trong khi một trong những chiến dịch – được đặt tên là River of Phish – được cho là do COLDRIVER, một tập thể đối thủ có quan hệ với Cơ quan An ninh Liên bang Nga (FSB) thực hiện, thì loạt cuộc tấn công thứ hai được coi là hoạt động của một cụm mối đe dọa không có giấy tờ trước đây có tên mã là COLDWASTREL.


Theo một cuộc điều tra chung từ Access Now và Citizen Lab, mục tiêu của các chiến dịch còn bao gồm các nhân vật đối lập nổi tiếng của Nga lưu vong, các quan chức và học giả trong tổ chức tư vấn và không gian chính sách của Hoa Kỳ, cũng như một cựu đại sứ Hoa Kỳ tại Ukraine.

Access Now cho biết : "Cả hai loại tấn công đều được thiết kế phù hợp để đánh lừa tốt hơn các thành viên của tổ chức mục tiêu". "Mẫu tấn công phổ biến nhất mà chúng tôi quan sát được là một email được gửi từ tài khoản bị xâm nhập hoặc từ một tài khoản có vẻ giống với tài khoản thật của ai đó mà nạn nhân có thể đã biết."

River of Phish liên quan đến việc sử dụng các chiến thuật kỹ thuật xã hội được cá nhân hóa và có tính hợp lý cao để lừa nạn nhân nhấp vào liên kết được nhúng trong tài liệu thu hút PDF, chuyển hướng họ đến trang thu thập thông tin xác thực, nhưng không phải trước khi lấy dấu vân tay của các máy chủ bị nhiễm trong một nỗ lực có thể xảy ra để ngăn chặn các công cụ tự động truy cập vào cơ sở hạ tầng giai đoạn hai.


Các email được gửi từ tài khoản email Proton Mail mạo danh các tổ chức hoặc cá nhân mà nạn nhân quen thuộc hoặc biết đến.

"Chúng tôi thường quan sát thấy kẻ tấn công bỏ qua việc đính kèm tệp PDF vào tin nhắn ban đầu yêu cầu xem xét lại tệp 'đính kèm'", Citizen Lab cho biết. "Chúng tôi tin rằng điều này là có chủ ý và nhằm tăng độ tin cậy của thông tin liên lạc, giảm nguy cơ bị phát hiện và chỉ chọn những mục tiêu phản hồi với cách tiếp cận ban đầu (ví dụ: chỉ ra việc thiếu tệp đính kèm)."

Các liên kết đến COLDRIVER được củng cố bởi thực tế là các cuộc tấn công sử dụng các tài liệu PDF có vẻ được mã hóa và thúc giục nạn nhân mở nó trong Proton Drive bằng cách nhấp vào liên kết, một mưu mẹo mà kẻ đe dọa đã sử dụng trước đây.

Một số yếu tố kỹ thuật xã hội cũng mở rộng sang COLDWASTREL, đặc biệt là trong việc sử dụng Proton Mail và Proton Drive để lừa mục tiêu nhấp vào liên kết và đưa họ đến một trang đăng nhập giả mạo ("protondrive[.]online" hoặc "protondrive[. ]dịch vụ") cho Proton. Các cuộc tấn công được ghi nhận lần đầu tiên vào tháng 3 năm 2023.

Tuy nhiên, COLDWASTREL khác với COLDRIVER khi nói đến việc sử dụng các miền tương tự để thu thập thông tin xác thực cũng như sự khác biệt về nội dung và siêu dữ liệu PDF. Hoạt động này chưa được quy cho một tác nhân cụ thể nào ở giai đoạn này.

Citizen Lab cho biết: "Khi chi phí phát hiện vẫn ở mức thấp, lừa đảo không chỉ là một kỹ thuật hiệu quả mà còn là một cách để tiếp tục nhắm mục tiêu toàn cầu trong khi tránh để lộ các khả năng phát hiện phức tạp (và tốn kém) hơn".