Một nhóm tin tặc liên quan đến nhà nước đang thực hiện các cuộc tấn công phishing có mục tiêu nhằm vào người dùng Gmail. Các email độc hại được ngụy trang dưới dạng cảnh báo bảo mật chính thức từ Google. Chiến dịch này được thiết kế để lừa người nhận cung cấp thông tin đăng nhập và mã xác thực hai yếu tố, vượt qua lớp bảo mật tài khoản đáng tin cậy.
Chiến dịch tấn công mới của UNC1151 vào người dùng Gmail
Nhóm tin tặc này, còn được theo dõi dưới tên UNC1151, có lịch sử lâu dài nhắm vào công dân Ba Lan thông qua email. Trong nhiều năm, hoạt động của họ tập trung vào người dùng các dịch vụ email của Ba Lan như Onet, Wirtualna Polska và Interia. Tuy nhiên, từ tháng 3 năm 2026, nhóm đã chuyển hoàn toàn mục tiêu sang tài khoản Gmail.
Các chiến dịch được tiến hành với cường độ cao, chủ yếu vào các ngày trong tuần. Các tên miền phishing mới xuất hiện gần như hàng ngày. Phân tích từ CERT Polska (CERT.PL), đội ứng cứu sự cố an ninh mạng quốc gia của Viện Nghiên cứu Quốc gia Ba Lan, đã xác định và ghi nhận chiến dịch này.
Theo báo cáo được chia sẻ, CERT.PL lưu ý rằng các cuộc tấn công này liên tục nhắm vào các cá nhân ở vị trí nổi bật, bao gồm các chính trị gia, nhà nghiên cứu, nhà báo, công chức và những người có liên hệ với các nhóm này qua mối quan hệ gia đình hoặc xã hội. Phạm vi tiếp cận của nhóm được cố tình mở rộng.
Kẻ tấn công không phải lúc nào cũng biết chính xác chủ sở hữu của hộp thư nhắm mục tiêu và đôi khi cố gắng đoán địa chỉ email của nạn nhân. Điều này có thể dẫn đến việc các thông điệp phishing xuất hiện trong các hộp thư không liên quan nhưng có tên tương tự.
Mục tiêu tấn công chi tiết và phương thức hoạt động
CERT.PL cũng quan sát thấy các chiến dịch nhắm vào các ngành nghề cụ thể như biên dịch viên và chuyên gia tòa án, cho thấy mức độ nhắm mục tiêu có chủ đích cao đằng sau mỗi làn sóng tấn công. Nhóm tin tặc này dường như được thúc đẩy bởi việc thu thập thông tin tình báo hơn là lợi ích tài chính.
Sau khi chiếm được quyền truy cập vào hộp thư của nạn nhân, kẻ tấn công sẽ tìm kiếm danh sách liên hệ, các tài liệu nhạy cảm và tài khoản mạng xã hội được liên kết. Những tài khoản này sau đó cũng có thể bị chiếm quyền điều khiển. Mô hình khai thác tiếp theo này làm cho mỗi sự cố bị xâm nhập thành công trở nên nguy hiểm hơn nhiều so với việc chỉ đơn thuần là mất mật khẩu.
Kỹ thuật lừa đảo và chiếm đoạt thông tin
Nhóm UNC1151 tiếp cận các nạn nhân tiềm năng thông qua các email lừa đảo được thiết kế để bắt chước các thông báo quản trị viên Gmail chính thức. Các thông điệp này thường được gửi từ các tài khoản Gmail được tạo riêng cho mục đích này, mặc dù đôi khi tài khoản bị xâm phạm với tên hiển thị đã sửa đổi cũng được sử dụng.
Các email được viết bằng tiếng Ba Lan mà không có lỗi rõ ràng. Chúng thường cảnh báo về hoạt động đáng ngờ, đăng nhập trái phép hoặc vi phạm điều khoản dịch vụ, gây áp lực buộc người nhận phải hành động nhanh chóng dưới mối đe dọa về việc tài khoản bị đình chỉ hoặc xóa vĩnh viễn. Nguồn.
Khi nạn nhân nhấp vào liên kết trong email, họ sẽ được chuyển đến một trang web giả mạo được xây dựng để sao chép chính xác bảng đăng nhập Gmail. Trang này sẽ thu thập địa chỉ email và mật khẩu của nạn nhân.
Khai thác xác thực hai yếu tố (2FA)
Một điểm phát triển quan trọng trong chiến dịch này, so với các hoạt động trước đây nhắm vào các nhà cung cấp email của Ba Lan, là khả năng đánh cắp cả mã xác thực hai yếu tố. Nếu yêu cầu yếu tố thứ hai, trang phishing sẽ hiển thị lời nhắc bổ sung yêu cầu mã đó, cho phép kẻ tấn công chặn cả mã SMS và mã được tạo bởi các ứng dụng như Google Authenticator.
Kẻ tấn công thường xuyên nhắm mục tiêu vào cùng một tài khoản và đôi khi gửi nhiều tin nhắn trong vòng hai ngày để tăng áp lực.
Cơ sở hạ tầng và phương thức phân phối
Nhóm thay đổi luân phiên cơ sở hạ tầng mà họ sử dụng để lưu trữ các trang phishing. Hoạt động bao gồm các tên miền chuyên dụng được đăng ký dưới các TLD như .icu, .digital và .top, cũng như các tên miền phụ được lưu trữ trên các nền tảng như Netlify. Tên miền được chế tạo cẩn thận để phù hợp với nội dung thông điệp và địa chỉ người gửi được sử dụng để phân phối.
Ghostwriter cũng đặt các bảng đăng nhập giả mạo trên các trang web bị xâm phạm thuộc về các tổ chức Ba Lan, thực hiện điều này mà không thay đổi trang chính để giữ cho việc xâm nhập không bị phát hiện bởi cả chủ sở hữu trang web và khách truy cập thông thường.
Các chỉ số xâm nhập (Indicators of Compromise – IoCs)
Các tên miền và cơ sở hạ tầng sau đây đã được quan sát thấy đang hoạt động trong chiến dịch phishing Gmail của Ghostwriter, như được ghi nhận bởi CERT.PL:
ghostwriter.comghostwriter.netghostwriter.orgghostwriter.icughostwriter.digitalghostwriter.top
Lưu ý: Địa chỉ IP và tên miền được làm rõ (ví dụ: [.]) để ngăn chặn việc phân giải hoặc liên kết quá mức vô tình. Chỉ định rõ lại trong các nền tảng tình báo mối đe dọa được kiểm soát như MISP, VirusTotal hoặc SIEM của bạn.
CERT.PL đặc biệt khuyên người dùng nên coi bất kỳ email nào đe dọa xóa hoặc đình chỉ tài khoản là đáng ngờ cho đến khi được xác minh. Người dùng không bao giờ nên nhấp vào liên kết trong các thông báo như vậy và thay vào đó nên truy cập trực tiếp vào dịch vụ bằng cách gõ địa chỉ của nó vào trình duyệt.
Báo cáo cũng nêu rõ rằng tên hiển thị của người gửi một mình không thể tin cậy và bất kỳ email nào đề cập đến các vấn đề bảo mật tài khoản đều xứng đáng được xem xét cẩn thận trước khi thực hiện bất kỳ hành động nào. Việc nhắm mục tiêu vào người dùng Gmail với các cuộc tấn công phishing tinh vi như vậy nhấn mạnh tầm quan trọng của an ninh mạng và sự cảnh giác liên tục trước các mối đe dọa tiềm ẩn.
