Một cơ quan an ninh mạng quốc gia gần đây đã phát đi cảnh báo khẩn cấp về một chiến dịch tấn công mạng spear-phishing tinh vi. Chiến dịch này nhắm mục tiêu vào các cá nhân hoạt động trong lĩnh vực an ninh và quốc phòng.
Cuộc tấn công sử dụng tin nhắn WhatsApp giả mạo từ các tổ chức uy tín, mời nạn nhân tham gia các hội nghị chuyên nghiệp. Các tin nhắn chứa URL rút gọn dẫn đến các trang web giả mạo.
Mục tiêu là đánh cắp thông tin cá nhân và trong một số trường hợp, phân phối các tệp độc hại. Cuộc tấn công cho thấy dấu hiệu của sự chuẩn bị kỹ lưỡng, với các liên kết đến các nhóm đe dọa đã biết.
Phân Tích Kỹ Thuật Cuộc Tấn Công Phishing
URL rút gọn msnl[.]ink được xác định là trung tâm của chiến dịch này. Tên miền này là một phần của hệ thống rút gọn URL lớn hơn mà các nhà nghiên cứu bảo mật đã theo dõi từ lâu.
Các tin nhắn giả mạo được thiết kế chuyên nghiệp và sử dụng chủ đề hội nghị để tạo cảm giác xác thực. Khi nạn nhân nhấp vào liên kết, họ sẽ được chuyển hướng đến các trang web giả mạo.
Các trang này được tạo ra để thu thập thông tin cá nhân và công việc của họ. Các trang web giả mạo trông giống như các trang đăng ký hội nghị thực sự, khiến việc phát hiện nguy hiểm trở nên khó khăn.
Xác Định Mối Đe Dọa và Hạ Tầng Tấn Công
Nhà phân tích bảo mật Idan Tarab đã phát hiện chiến dịch này khi theo dõi các mẫu hạ tầng liên quan đến APT42, một nhóm đe dọa còn được biết đến với tên gọi Charming Kitten.
Cuộc tấn công mạng này cho thấy mối liên hệ chặt chẽ với nhóm đe dọa này thông qua thiết lập kỹ thuật và phương pháp hoạt động. Tarab lưu ý rằng hệ thống rút gọn URL cho thấy các lựa chọn thiết kế có chủ đích, chỉ ra đây là những kẻ tấn công có kinh nghiệm, không phải tội phạm cơ hội.
Hạ tầng đằng sau cuộc tấn công mạng này hé lộ các chi tiết kỹ thuật quan trọng về cách nhóm hoạt động. Phân tích msnl[.]ink cho thấy nó chạy trên máy chủ Microsoft-IIS/10.0 được lưu trữ ở nhiều quốc gia, bao gồm Hà Lan, Đức, Moldova và Ý.
Thiết lập này sử dụng các trình rút gọn URL tùy chỉnh với các mẫu nhất quán trên các tên miền .ink và .info. Loại hạ tầng này đòi hỏi thời gian và tài nguyên để xây dựng, cho thấy kẻ tấn công được tài trợ tốt và có tổ chức. Việc chọn lưu trữ ở nhiều quốc gia cũng làm phức tạp việc thực thi pháp luật gỡ bỏ hoạt động này.
Chỉ Số Nhận Dạng (IOCs)
Các chỉ số thỏa hiệp (IOCs) quan trọng liên quan đến chiến dịch phishing này bao gồm:
- Tên miền độc hại:
msnl[.]ink - Hệ điều hành máy chủ:
Microsoft-IIS/10.0 - Mẫu tên miền liên quan:
*.ink,*.info
Mối Liên Kết Với APT42 và Chiến Lược Phòng Ngừa
Mối liên hệ với APT42 xuất phát từ việc đối chiếu các mẫu hạ tầng mà các nhà nghiên cứu đã theo dõi theo thời gian. Hệ thống rút gọn URL sử dụng các dấu vân tay máy chủ và dịch vụ lưu trữ cụ thể phù hợp với các chiến dịch trước đây được liên kết với nhóm này.
Kẻ tấn công tái sử dụng cùng các dịch vụ DDNS và mẫu đặt tên miền, tạo ra một chữ ký số mà các nhóm bảo mật có thể theo dõi. Thiết lập máy chủ Microsoft-IIS nhất quán trên nhiều tên miền trong mạng, cho thấy quản lý tập trung thay vì các hoạt động riêng biệt.
Những dấu hiệu kỹ thuật này giúp các nhóm bảo mật xác định các cuộc tấn công mạng mới từ cùng một nhóm và chặn chúng trước khi chúng tiếp cận nhiều nạn nhân hơn. Theo dõi các hoạt động liên quan đến Charming Kitten là một phần quan trọng để nắm bắt các biến thể tấn công.
Các tổ chức có thể sử dụng thông tin này để cập nhật các công cụ bảo mật của mình và đào tạo nhân viên nhận diện các loại cố gắng phishing cụ thể này. Việc tăng cường nhận thức là yếu tố then chốt để chống lại các mối đe dọa mạng ngày càng tinh vi.
