VietNetwork.Vn

Các nhà nghiên cứu an ninh mạng đã phát hiện ra cơ sở hạ tầng mạng mới do các tác nhân đe dọa từ Iran thiết lập để hỗ trợ các hoạt động liên quan đến mục tiêu gần đây là các chiến dịch chính trị của Hoa Kỳ.

Insikt Group của Recorded Future đã liên kết cơ sở hạ tầng này với một nhóm tin tặc mà họ theo dõi là GreenCharlie, một nhóm đe dọa mạng có liên hệ với Iran, có hoạt động trùng lặp với APT42, Charming Kitten, Damselfly, Mint Sandstorm (trước đây là Phosphorus), TA453 và Yellow Garuda.


Công ty an ninh mạng cho biết : "Cơ sở hạ tầng của nhóm được thiết kế tỉ mỉ, sử dụng các nhà cung cấp DNS động (DDNS) như Dynu, DNSEXIT và Vitalwerks để đăng ký các tên miền được sử dụng trong các cuộc tấn công lừa đảo".

"Các tên miền này thường sử dụng các chủ đề lừa đảo liên quan đến dịch vụ đám mây, chia sẻ tệp và trực quan hóa tài liệu để dụ mục tiêu tiết lộ thông tin nhạy cảm hoặc tải xuống các tệp độc hại."

Ví dụ bao gồm các thuật ngữ như "cloud", "uptimezone", "doceditor", "joincloud" và "pageviewer", trong số những thuật ngữ khác. Phần lớn các tên miền được đăng ký bằng tên miền cấp cao nhất (TLD).info, một sự thay đổi so với các TLD .xyz, .icu, .network, .online và .site đã được quan sát trước đó.

Kẻ thù có thành tích dàn dựng các cuộc tấn công lừa đảo có mục tiêu cao, tận dụng các kỹ thuật kỹ thuật xã hội mở rộng để lây nhiễm cho người dùng phần mềm độc hại như POWERSTAR (hay còn gọi là CharmPower và GorjolEcho) và GORBLE, gần đây đã được Mandiant thuộc sở hữu của Google xác định là được sử dụng trong các chiến dịch chống lại Israel và Hoa Kỳ.

GORBLE, TAMECAT và POWERSTAR được đánh giá là các biến thể của cùng một phần mềm độc hại, một loạt các bản cấy ghép PowerShell liên tục phát triển được GreenCharlie triển khai trong nhiều năm. Cần lưu ý rằng Proofpoint đã nêu chi tiết một bản kế nhiệm POWERSTAR khác có tên là BlackSmith được sử dụng trong một chiến dịch lừa đảo bằng giáo mác nhắm vào một nhân vật Do Thái nổi tiếng vào cuối tháng 7 năm 2024.

Quá trình lây nhiễm thường gồm nhiều giai đoạn, bao gồm việc truy cập ban đầu thông qua lừa đảo, sau đó thiết lập liên lạc với máy chủ chỉ huy và kiểm soát (C2) và cuối cùng là đánh cắp dữ liệu hoặc phân phối thêm các phần mềm độc hại.

Những phát hiện của Recorded Future cho thấy rằng tác nhân đe dọa đã đăng ký một số lượng lớn tên miền DDNS kể từ tháng 5 năm 2024, đồng thời công ty này cũng xác định được các hoạt động liên lạc giữa các địa chỉ IP có trụ sở tại Iran (38.180.146[.]194 và 38.180.146[.]174) và cơ sở hạ tầng GreenCharlie từ tháng 7 đến tháng 8 năm 2024.

Hơn nữa, một liên kết trực tiếp đã được phát hiện giữa các cụm GreenCharlie và máy chủ C2 được GORBLE sử dụng. Người ta tin rằng các hoạt động này được tạo điều kiện thuận lợi thông qua Proton VPN hoặc Proton Mail để che giấu hoạt động của chúng.

Recorded Future cho biết: "Các hoạt động lừa đảo của GreenCharlie có mục tiêu rất cụ thể, thường sử dụng các kỹ thuật kỹ thuật xã hội để lợi dụng các sự kiện hiện tại và căng thẳng chính trị".

"Nhóm này đã đăng ký nhiều tên miền kể từ tháng 5 năm 2024, nhiều trong số đó có khả năng được sử dụng cho các hoạt động lừa đảo. Các tên miền này được liên kết với các nhà cung cấp DDNS, cho phép thay đổi nhanh chóng địa chỉ IP, gây khó khăn cho việc theo dõi các hoạt động của nhóm."

Tiết lộ này được đưa ra trong bối cảnh hoạt động mạng độc hại của Iran đang gia tăng chống lại Hoa Kỳ và các mục tiêu nước ngoài khác. Đầu tuần này, Microsoft đã tiết lộ rằng nhiều lĩnh vực ở Hoa Kỳ và UAE là mục tiêu của một tác nhân đe dọa Iran có tên mã là Peach Sandstorm (hay còn gọi là Refined Kitten).

Ngoài ra, các cơ quan chính phủ Hoa Kỳ cho biết một nhóm tin tặc khác được nhà nước Iran hậu thuẫn, Pioneer Kitten, đã hoạt động ngoài giờ với tư cách là nhà môi giới truy cập ban đầu (IAB) để tạo điều kiện cho các cuộc tấn công bằng phần mềm tống tiền vào các lĩnh vực giáo dục, tài chính, chăm sóc sức khỏe, quốc phòng và chính phủ tại Hoa Kỳ thông qua sự hợp tác với các nhóm NoEscape, RansomHouse và BlackCat.