Chủ đề

(Không gian mạng) - Ngày 29/11, hãng bảo mật Accenture (Singapore) công bố báo cáo phát hiện, một nhóm tin tặc Nga khét tiếng đã cố gắng lợi dụng những thông tin mới nhất liên quan đến vấn đề Brexit để phát tán mã độc.

Nhóm APT28, còn được Accenture gọi là SNAKEMACKEREL, sử dụng một tài liệu Microsoft Word chứa mã độc, trông như nói về kế hoạch tách khỏi Liên minh Châu Âu (EU) của Anh, nhằm xâm nhập vào hệ thống của nhiều mục tiêu khác nhau, các chuyên gia cho biết.

APT28 được biết đến rộng rãi là một sản phẩm của dịch vụ tình báo Nga. Còn được biết đến với cái tên Fancy Bear, Pawn Storm và nhiều tên khác, nhóm này cũng là nhóm bị cáo buộc liên quan đến vụ rò rỉ của Ủy ban Dân chủ Quốc gia năm 2016, vụ tấn công Thế vận hội Mùa đông năm 2018 và những chiến dịch nhắm vào cơ sở hạ tầng xung yếu, chính trị, chính phủ cùng nhiều tổ chức khác.email-hacking-735x400-15051

“Dựa vào mục tiêu mà nhóm nhắm đến trong nhiều năm qua, chúng tôi có thể khẳng định khá chắc rằng, chúng chuyên nhắm mục tiêu vào chính phủ, chính trị, viện nghiên cứu và tổ chức quốc phòng ở Mỹ, Châu Âu và một nước thuộc khối phía Đông cũ”, Michael Yip, trưởng an ninh của đội iDefense thuộc Accenture nói với CyberScoop trong một email.

Accenture cho biết, hãng đã quan sát hoạt động liên quan đến chiến dịch này vào cùng khoảng thời gian mà các lãnh đạo nhà nước ở Anh công bố bản phác thảo thỏa thuận Brexit vào đầu tháng 11. Tên của tài liệu Word sử dụng trong chiến dịch là “Brexit 15.11.2018.docx”, cho thấy tin tặc Nga đang khai thác sự kiện nóng này để làm cho thư gửi đi trông như hợp pháp. Nội dung tài liệu gửi đi chứa ký tự bị làm rối nhằm làm cho nạn nhân kích hoạt macro, và giải phóng mã độc “Zekapab”.

Zekapab, từng được Accenture và nhiều hãng bảo mật khác báo cáo trước đây, là một loại mã độc giai đoạn đầu giúp thiết lập một backdoor trên hệ thống nạn nhân và thu thập thông tin về máy chủ lưu trữ. Mã độc này còn có tên là Zebrocy, từng được hãng bảo mật Palo Alto Networks báo cáo trong một chiến dịch khác, liên quan đến APT28 hồi cuối tháng 10 đầu tháng 11/2018.

“Việc sử dụng tài liệu Microsoft Word để phát tán mã độc giai đoạn đầu như Zekapab (Zebrocy) và cách dùng chủ đề là tin tức nóng làm tài liệu mồi nhử chính là dấu hiệu xác nhận trong phương thức tấn công của SNAKEMACKEREL”, Yip nhận định. “Tốc độ mà nguồn tin nóng được đưa vào đầu đề tài liệu mồi nhử trong các chiến dịch đặc biệt nói lên sự hiểu biết của nhóm về các vấn đề ngoại giao, và cũng cung cấp dấu hiệu rõ rệt về mục tiêu tiếp theo của chúng”.

Hồng Anh (Lược dịch từ Cyber Scoop)

Bài viết, video, hình ảnh đóng góp cho chuyên mục vui lòng gửi về [email protected]
Thích và chia sẻ bài này trên