Chiến dịch gián điệp mạng này được tiến hành một cách bí mật, tập trung vào người dùng mạng xã hội Israel. Mục tiêu chính của chiến dịch là thu thập thông tin tình báo thông qua việc xâm nhập vào thiết bị của nạn nhân, chủ yếu thông qua đánh cắp thông tin đăng nhập và triển khai mã độc. Các nền tảng mạng xã hội như Facebook và Instagram đã bị các đối tượng tấn công lạm dụng, sử dụng kỹ thuật kỹ thuật xã hội tinh vi để phân tán các liên kết độc hại.
Kẻ tấn công khai thác triệt để các nền tảng mạng xã hội bằng cách sử dụng các tin nhắn trực tiếp chứa URL độc hại. Các liên kết này được ngụy trang khéo léo dưới dạng nội dung hợp pháp hoặc tin tức liên quan đến các sự kiện thời sự nóng hổi để đánh lừa người dùng. Để xây dựng lòng tin và tăng tính thuyết phục, các đối tượng tấn công đã tạo ra các hồ sơ giả mạo, đóng vai trò là các nhà báo hoặc nhà hoạt động nổi tiếng, khiến nạn nhân khó có thể nhận diện được mối đe dọa.
Phân tích Kỹ thuật, Chiến thuật và Thủ tục (TTPs) theo MITRE ATT&CK
Chiến dịch này đã áp dụng một số kỹ thuật tấn công được định nghĩa trong khuôn khổ MITRE ATT&CK, cho thấy một chuỗi tấn công có tổ chức và được lên kế hoạch rõ ràng. Việc nhận diện các TTPs này là cực kỳ quan trọng đối với các chuyên viên SOC và TIP để tăng cường khả năng phòng thủ và phản ứng.
Truy cập Ban đầu (Initial Access)
- Spearphishing Link (T1566.002): Đây là kỹ thuật chính được sử dụng để bắt đầu chuỗi tấn công. Kẻ tấn công gửi các liên kết độc hại thông qua tin nhắn trực tiếp trên mạng xã hội. Các liên kết này được thiết kế để dụ dỗ nạn nhân nhấp vào, thường bằng cách lợi dụng sự tò mò hoặc mối quan tâm của họ đối với các chủ đề nhạy cảm hoặc thời sự. Một khi nạn nhân nhấp vào, họ có thể bị chuyển hướng đến các trang lừa đảo hoặc tự động tải xuống mã độc.
Thực thi (Execution)
- User Execution (T1204): Sau khi liên kết độc hại được gửi, kỹ thuật này mô tả hành động của nạn nhân bị lừa. Nạn nhân bị thao túng để thực hiện một hành động cụ thể, chẳng hạn như nhấp vào liên kết, tải xuống và chạy một tệp tin, hoặc nhập thông tin xác thực vào một trang web giả mạo. Trong bối cảnh chiến dịch này, hành vi “nhấp vào liên kết” đóng vai trò là điểm kích hoạt cho các giai đoạn tấn công tiếp theo, dẫn đến việc tải xuống mã độc hoặc chuyển hướng đến các trang thu thập thông tin đăng nhập.
Truy cập Thông tin Đăng nhập (Credential Access)
- Credential Dumping / Harvesting (T1003 / T1110): Đây là mục tiêu cuối cùng của phần lớn các cuộc tấn công lừa đảo. Sau khi nạn nhân đã bị lừa thực hiện hành động thông qua User Execution, kẻ tấn công sẽ tiến hành thu thập thông tin đăng nhập của người dùng. Điều này thường được thực hiện thông qua các cổng đăng nhập giả mạo được thiết kế để trông giống hệt các dịch vụ hợp pháp. Khi nạn nhân nhập tên người dùng và mật khẩu của họ vào các trang này, thông tin đó sẽ được thu thập và gửi về máy chủ của kẻ tấn công. Mục tiêu là chiếm đoạt tài khoản người dùng để phục vụ các hoạt động gián điệp tiếp theo.
Mã độc và Công cụ
Mặc dù nội dung hiện có không nêu đích danh các loại mã độc cụ thể đã được sử dụng trong chiến dịch này, nhưng các dấu hiệu cho thấy kẻ tấn công đã triển khai các công cụ phần mềm gián điệp tùy chỉnh sau khi nạn nhân bị lừa đảo thành công. Việc sử dụng các công cụ tùy chỉnh giúp kẻ tấn công khó bị phát hiện hơn bởi các giải pháp bảo mật phổ biến, vì chúng thường không có chữ ký nhận dạng cố định trong các cơ sở dữ liệu mã độc công khai.
Chi tiết Cơ sở hạ tầng
Cơ sở hạ tầng được sử dụng trong chiến dịch này bao gồm các tên miền độc hại được thiết kế để lưu trữ các trang lừa đảo. Các tên miền này được tạo ra để giả mạo các hãng tin tức nổi tiếng của Israel hoặc các trang web của chính phủ, nhằm tạo cảm giác tin cậy và hợp pháp cho nạn nhân. Sự ngụy trang này là một phần quan trọng của kỹ thuật xã hội, khiến người dùng khó có thể phân biệt giữa trang web thật và giả mạo.
Ví dụ về các mẫu URL đã được sử dụng trong các chiến dịch lừa đảo tương tự hoặc có thể áp dụng trong chiến dịch này bao gồm:
http://fake-news-site[.]com/login.php?user=targetID
http://israel-info[.]net/secure-login/(Lưu ý: Các URL trên chỉ mang tính chất minh họa dựa trên các chiến thuật điển hình; các IOC chính xác đã không được cung cấp trong nguồn thông tin ban đầu).
Chỉ số Thỏa hiệp (IOCs)
Trong chiến dịch này, không có hash tệp cụ thể hoặc URL chính xác nào được cung cấp chi tiết. Tuy nhiên, dựa trên các kỹ thuật tấn công được mô tả, các loại IOC sau đây có thể được suy ra và cần được giám sát chặt chẽ:
- Các hồ sơ mạng xã hội giả mạo mạo danh nhà báo hoặc nhà hoạt động, với các mẫu hoạt động đáng ngờ, chẳng hạn như việc tạo tài khoản mới nhanh chóng, gửi tin nhắn trực tiếp hàng loạt cho các mục tiêu không liên quan, hoặc nội dung bài đăng có vẻ không nhất quán với vai trò mạo danh.
- Các URL lừa đảo được sử dụng trong tin nhắn trực tiếp. Mặc dù không có danh sách cụ thể, việc giám sát các liên kết đáng ngờ trong tin nhắn riêng tư và phân tích hành vi chuyển hướng của chúng là rất quan trọng. Các dấu hiệu nhận biết có thể bao gồm việc sử dụng tên miền có lỗi chính tả nhẹ so với tên miền gốc, sử dụng các tên miền cấp cao nhất (TLD) không phù hợp, hoặc các trang đăng nhập không có chứng chỉ SSL/TLS hợp lệ hoặc không khớp với tên miền.
Không có ví dụ về dòng lệnh hoặc tệp cấu hình nào được tiết lộ trong tài liệu nguồn. Do đó, việc tập trung vào các IOC dựa trên hành vi và mạng là cần thiết.
Bối cảnh Liên quan từ các Nguồn Khác
Mặc dù không trực tiếp từ chiến dịch này, các thông tin sau đây cung cấp thêm bối cảnh rộng hơn về các mối đe dọa mạng nhắm vào Israel, giúp chuyên gia an ninh có cái nhìn toàn diện hơn về môi trường đe dọa:
- Các tác nhân liên kết với Iran đã thực hiện các chiến dịch lừa đảo sử dụng các liên kết Google Meet giả mạo nhắm vào các quan chức cấp cao của Israel. Điều này cho thấy sự nhất quán trong việc sử dụng kỹ thuật lừa đảo qua email và tin nhắn.
- Các hoạt động của nhóm hacktivist bao gồm các cuộc tấn công DDoS và các thông báo khẩn cấp giả mạo chống lại Israel, cho thấy sự đa dạng trong các hình thức tấn công mạng, không chỉ giới hạn ở gián điệp mà còn có cả phá hoại và gây rối.
- Iran được cho là đã xâm nhập vào các camera an ninh riêng trong Israel để thu thập thông tin tình báo. Kỹ thuật này mở rộng phạm vi thu thập thông tin tình báo vật lý và mạng, cho thấy sự tinh vi và kiên trì của các tác nhân đe dọa.
Những điểm bối cảnh này phù hợp với các chiến thuật chiến tranh lai (hybrid warfare) liên quan đến gián điệp mạng và phát tán thông tin sai lệch, nhưng không bổ sung các chi tiết kỹ thuật mới về chiến dịch cụ thể này ngoài những gì đã nêu ở trên.
Thông tin Tích hợp cho SOC và TIP
Để tối ưu hóa hoạt động của trung tâm điều hành an ninh (SOC) và nền tảng thông tin tình báo mối đe dọa (TIP), việc tổng hợp thông tin về chiến dịch này là thiết yếu. Dưới đây là tóm tắt các điểm kỹ thuật chính:
- Đối tượng: Người dùng mạng xã hội Israel.
- Nền tảng khai thác: Facebook, Instagram.
- Vector tấn công: Spearphishing qua tin nhắn trực tiếp chứa URL độc hại.
- Kỹ thuật: Sử dụng các kỹ thuật như Spearphishing Link (T1566.002), User Execution (T1204), và Credential Harvesting (thu thập thông tin đăng nhập). Việc nhận diện các kỹ thuật này giúp thiết lập các quy tắc phát hiện và cảnh báo hiệu quả trong SIEM.
- Mã độc: Có dấu hiệu sử dụng các công cụ phần mềm gián điệp tùy chỉnh; tuy nhiên, không có tên cụ thể nào được công bố. Việc giám sát hành vi bất thường trên thiết bị đầu cuối là cần thiết để phát hiện các công cụ không có chữ ký.
- Cơ sở hạ tầng: Các tên miền giả mạo, bắt chước các trang tin tức hoặc chính phủ Israel. Cần thiết lập các quy tắc để phát hiện và chặn truy cập đến các tên miền lừa đảo này.
- IOCs: Các hồ sơ giả mạo mạo danh nhà báo/nhà hoạt động và các URL lừa đảo. Cần tăng cường nhận thức cho người dùng về các dấu hiệu của hồ sơ giả mạo và các liên kết đáng ngờ.
Trong phân tích này, không có CVE (Common Vulnerabilities and Exposures), file hash, các dòng lệnh, tệp cấu hình, hoặc các ID MITRE ATT&CK cụ thể nào ngoài những gì đã suy luận được đề cập trong bài viết nguồn. Điều này nhấn mạnh tầm quan trọng của việc tập trung vào các IOC dựa trên hành vi và thông tin mạng để phát hiện và ngăn chặn các mối đe dọa trong tương lai.
