Các nhóm tác nhân độc hại, bao gồm nhóm APT hoặc tội phạm mạng được xác định là Gonjeshke Darande (còn được biết đến với tên gọi “Predatory Sparrow”), đã và đang thực hiện các chiến dịch tấn công phức tạp nhắm vào các tổ chức tài chính và sàn giao dịch tiền điện tử. Các chiến dịch này sử dụng một loạt các mã độc đánh cắp thông tin (infostealer) và các kỹ thuật tấn công đa dạng nhằm chiếm đoạt dữ liệu nhạy cảm và tài sản tài chính.
Trong các chiến dịch này, một số họ mã độc chủ chốt đã được phát hiện sử dụng, bao gồm:
- StealC Infostealer
- Redline Infostealer
- BrowserVenom
Các mã độc này chủ yếu nhắm mục tiêu vào dữ liệu từ các trình duyệt web phổ biến, đặc biệt là các trình duyệt dựa trên Chromium và Gecko. Mục tiêu chính của chúng là đánh cắp thông tin đăng nhập (credentials), lịch sử duyệt web (browsing history), và các tệp cookie, những dữ liệu cực kỳ có giá trị để truy cập trái phép vào các tài khoản và dịch vụ trực tuyến.
Các phương pháp tấn công được các nhóm này áp dụng rất đa dạng, thể hiện qua các Chiến thuật, Kỹ thuật và Quy trình (TTPs) tinh vi. Một trong những mục tiêu đáng chú ý là các cuộc tấn công mạng nhằm vào các tổ chức tài chính lớn như Ngân hàng Sepah ở Iran và sàn giao dịch tiền điện tử Nobitex. Các TTPs này bao gồm:
- Sử dụng các infostealer để đánh cắp thông tin đăng nhập, lịch sử duyệt web và cookie, cho phép kẻ tấn công chiếm đoạt tài khoản người dùng và truy cập vào các hệ thống nhạy cảm.
- Kỹ thuật phishing thông qua malvertising, trong đó các quảng cáo độc hại được sử dụng để hiển thị các cửa sổ xác nhận CAPTCHA giả mạo. Việc tương tác với các cửa sổ này dẫn đến việc cài đặt mã độc, điển hình là BrowserVenom.
- Mã độc BrowserVenom thể hiện khả năng tấn công tinh vi hơn bằng cách sửa đổi cấu hình trình duyệt và các tệp lối tắt (shortcut files). Mục đích của việc này là chuyển hướng lưu lượng truy cập web của nạn nhân thông qua các máy chủ proxy do kẻ tấn công kiểm soát, từ đó cho phép chúng giám sát hoặc thao túng các phiên làm việc của người dùng.
- Đáng chú ý, BrowserVenom còn có khả năng cố gắng tự thêm mình vào danh sách loại trừ của Microsoft Defender Antivirus, một kỹ thuật nhằm né tránh sự phát hiện và duy trì quyền kiểm soát trên hệ thống bị nhiễm.
- Trước khi thực thi, mã độc BrowserVenom thực hiện kiểm tra quyền quản trị (administrative privileges) trên hệ thống, cho thấy nó tìm cách hoạt động với các quyền cao nhất có thể để thực hiện các hành vi độc hại một cách hiệu quả hơn.
Một trong những trường hợp đáng chú ý về việc lây nhiễm mã độc đã được ghi nhận cho các nhân viên tại Nobitex với các infostealer. Cụ thể:
- Vào ngày 20 tháng 9 năm 2024, một máy tính của nhà phát triển đã bị lây nhiễm StealC Infostealer.
- Vào ngày 15 tháng 9 năm 2023, một máy tính của nhân viên đã bị lây nhiễm Redline Infostealer.
Các vụ việc này cho thấy rằng việc lây nhiễm mã độc đã diễn ra trong một khoảng thời gian đáng kể và nhắm vào các vị trí có quyền truy cập cao trong tổ chức.
Các Indicators of Compromise (IOCs) liên quan đến các cuộc tấn công vào Nobitex thông qua thông tin đăng nhập bị đánh cắp bao gồm một số tên miền và dịch vụ bị xâm phạm:
bitex-mail.nobitex.net/owa/
admin.nxbo.ir
testnet.nobitex.ir
jira.nxbo.ir/login.jsp
Những IOCs này cung cấp thông tin quan trọng cho các đội ngũ an ninh mạng để phát hiện và ngăn chặn các hoạt động độc hại liên quan đến hạ tầng của kẻ tấn công.
Nhóm Gonjeshke Darande đã công khai tuyên bố về các cuộc tấn công và tác động của chúng. Các tuyên bố này bao gồm:
- Thực hiện một cuộc tấn công mạng chống lại Ngân hàng Sepah ở Iran.
- Thực hiện một cuộc tấn công vào sàn giao dịch tiền điện tử Nobitex, tuyên bố đã dẫn đến việc đánh cắp khoảng 90 triệu USD.
- Ngoài ra, nhóm này cũng tuyên bố đã thực hiện các hoạt động trước đó bao gồm làm gián đoạn hoạt động của hệ thống đường sắt Iran và thay đổi giao diện trang web của Bộ Giao thông vận tải, hiển thị số điện thoại văn phòng của Lãnh tụ Tối cao Ali Khamenei.
Những thông tin này nhấn mạnh mức độ nghiêm trọng và khả năng gây ảnh hưởng trên diện rộng của các nhóm tác nhân độc hại như Gonjeshke Darande, đồng thời cho thấy sự cần thiết phải tăng cường các biện pháp phòng thủ và phản ứng nhanh chóng trong môi trường an ninh mạng hiện nay.
