Một nhóm hacker nổi tiếng, được biết đến với tên gọi UNC1151 hay Ghostwriter, vừa bị phát hiện tiến hành một chiến dịch phishing có chủ đích nhắm vào một chính trị gia đối lập tại Belarus. Nhóm này, với mối liên hệ lâu dài với chính phủ Belarus và Nga, đã gửi một email giả mạo được soạn thảo cẩn thận đến Yury Hubarevich với mục đích đánh cắp thông tin đăng nhập Gmail của ông. Cuộc tấn công này là lời nhắc nhở sắc bén về cách các tác nhân đe dọa có liên kết với nhà nước tiếp tục sử dụng các thủ thuật đơn giản nhưng hiệu quả để dập tắt tiếng nói của phe đối lập chính trị.
Chiến dịch Phishing Mở rộng của UNC1151
UNC1151 lần đầu tiên được chú ý vào năm 2020 khi chúng xâm nhập vào các trang tin tức và truyền thông hợp pháp để đăng tải những câu chuyện giả mạo, qua đó mang lại biệt danh Ghostwriter. Kể từ đó, nhóm này vẫn hoạt động tích cực, triển khai các chiến dịch spear-phishing trên khắp Đông Âu, tập trung đặc biệt vào các cá nhân ở Ba Lan và Ukraine.
Cuộc tấn công vào Hubarevich phù hợp với mô hình quen thuộc này. Tuy nhiên, quy mô của những gì các nhà nghiên cứu phát hiện ra phía sau nó lại kể một câu chuyện lớn hơn nhiều. Các nhà nghiên cứu tại Censys, một nền tảng tình báo Internet hàng đầu, đã chỉ ra rằng nỗ lực phishing chống lại Hubarevich không phải là một vụ tấn công đơn lẻ mà là một phần của hoạt động đánh cắp thông tin đăng nhập rộng lớn hơn, nhắm vào cả Belarus và Ukraine.
Kỹ thuật Tấn công Tinh vi
Bằng cách sử dụng các kỹ thuật pivot cơ sở hạ tầng và chứng chỉ, nhóm nghiên cứu đã truy vết cuộc tấn công về một mạng lưới tên miền phishing rộng lớn hơn, đang tích cực thu thập chi tiết đăng nhập từ các nạn nhân trên nhiều quốc gia. Cuộc tấn công bắt đầu bằng một email phishing viết bằng tiếng Nga, cảnh báo Hubarevich về hoạt động đáng ngờ trên tài khoản Google của ông và thúc giục ông xác minh thông tin đăng nhập ngay lập tức. Đây là một mánh khóe kỹ thuật social engineering kinh điển, dựa vào sự khẩn cấp và nỗi sợ thực tế bị mất quyền truy cập tài khoản.
Liên kết trong email đã dẫn ông đến một trang web Ukraine bị xâm phạm, sau đó chuyển hướng ông đến một trang đăng nhập Google giả mạo, được xây dựng để trông hoàn toàn chân thực và đáng tin cậy. Điều khiến cuộc tấn công này đặc biệt nguy hiểm là một kết nối websocket chạy nền, truyền mọi thứ được gõ trên trang đăng nhập giả mạo trực tiếp đến kẻ tấn công trong thời gian thực. Thiết lập này cho phép chúng vượt qua xác thực đa yếu tố dựa trên SMS và mật khẩu dùng một lần, nghĩa là ngay cả những người dùng đã bật xác minh hai bước vẫn có nguy cơ.
Màn hình cuối cùng hiển thị cho nạn nhân đọc bằng tiếng Nga: “Việc xác minh tài khoản đã được khởi tạo thành công. Bạn sẽ nhận được thông tin thêm trong vòng 24 giờ.”
Cơ sở hạ tầng Hỗ trợ Tấn công
Kẻ tấn công đã sử dụng một mạng phân phối nội dung (CDN) tên là Bunny CDN để che giấu các địa chỉ IP thực sự đằng sau các trang phishing của chúng, làm cho cơ sở hạ tầng khó bị truy vết hơn. Tuy nhiên, các điều tra viên phát hiện ra rằng một chứng chỉ gắn liền với một trong các tên miền phishing đã hiển thị công khai trên địa chỉ IP 45.194.44.44, được lưu trữ tại Ba Lan dưới Datagear. Sai sót vận hành nhỏ này đã mở ra cánh cửa để khám phá một cơ sở hạ tầng lớn hơn nhiều.
Bằng cách theo dõi chứng chỉ đó, các nhà nghiên cứu đã lập bản đồ nhiều tên miền phishing hơn liên kết với cùng một địa chỉ IP, bao gồm mail-secure-login[.]digital và check-account[.]digital. Những tên miền này tuân theo một mẫu có chủ đích, sử dụng các từ như “mail”, “account”, “security”, và “verification” để trông hợp pháp đối với người dùng không nghi ngờ.
Ba địa chỉ IP bổ sung chạy cùng dấu vân tay máy chủ web cũng đã được xác định, mỗi địa chỉ lưu trữ các chứng chỉ cho nhiều trang đăng nhập giả mạo hơn. Bức tranh toàn cảnh cho thấy nhóm này đang tích cực nhắm mục tiêu người dùng của ít nhất ba cổng thông tin trực tuyến phổ biến của Ukraine, bao gồm I.UA, bigmir)net và META.UA. Các trang phishing mô phỏng từng nền tảng này đã được tìm thấy đang hoạt động và sẵn sàng thu thập thông tin đăng nhập tại thời điểm điều tra.
Phát hiện và Khuyến nghị
CERT Polska và ESET, những đơn vị theo dõi nhóm này dưới tên FrostyNeighbor, đã ghi nhận riêng các mẫu chiến dịch rất giống nhau trong những tháng gần đây. Đối với các cá nhân ở các vai trò nhạy cảm về chính trị, biện pháp phòng vệ tốt nhất bắt đầu bằng việc quản lý tài khoản mạnh mẽ và sự hoài nghi lành mạnh đối với các yêu cầu đăng nhập khẩn cấp.
Việc sử dụng khóa bảo mật phần cứng thay vì xác thực hai yếu tố dựa trên SMS có khả năng chống lại sự can thiệp phishing trong thời gian thực thuộc loại này tốt hơn nhiều. Bất kỳ email nào đến bằng ngôn ngữ khu vực với cảnh báo tài khoản luôn cần được xác minh thông qua các kênh chính thức trước khi nhấp vào bất kỳ liên kết nào bên trong.
Các Chỉ số Thỏa hiệp (IoCs)
Lưu ý: Địa chỉ IP và tên miền được cố tình làm mất liên kết (ví dụ: [.]) để ngăn chặn việc phân giải hoặc siêu liên kết vô tình. Chỉ tạo lại liên kết trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
- Domains:
- mail-secure-login[.]digital
- check-account[.]digital
- IP Addresses:
- 45.194.44.44
- (Additional identified IPs sharing web server fingerprint)
Để nâng cao khả năng phòng thủ chủ động chống lại các cuộc tấn công, hãy truy cập 5 chiến thuật threat hunting đã được chứng minh mà bạn có thể triển khai trong SOC của mình. Đây là một ví dụ về mối đe dọa mạng dai dẳng, nhấn mạnh tầm quan trọng của việc cảnh giác và các biện pháp bảo mật mạnh mẽ.
