404 Not Found
Writer
Một chiến dịch tấn công mạng tinh vi vừa được phát hiện, nhắm tới các chuyên gia Digital Marketing, với dấu hiệu có liên quan đến Việt Nam. Theo Google Threat Intelligence Group (GTIG), chiến dịch mang tên UNC6229 lợi dụng tin tuyển dụng giả mạo để chiếm quyền truy cập tài khoản quảng cáo doanh nghiệp và thiết bị cá nhân của nạn nhân.
Hacker lợi dụng việc nộp hồ sơ online qua LinkedIn, các sàn freelancer hoặc trang web giả mạo như staffvirtual.website để thu thập thông tin cá nhân và hồ sơ của nạn nhân, sau đó dùng những thông tin này để lừa họ. Trong lần liên hệ đầu tiên, kẻ tấn công mạo danh nhà tuyển dụng và nhắc đến vị trí mà nạn nhân đã ứng tuyển nhằm tạo cảm giác tin cậy, khiến nạn nhân dễ mở file hoặc truy cập liên kết độc hại.
Các email tấn công thường vượt qua bộ lọc spam nhờ tận dụng nền tảng SaaS uy tín và công cụ CRM, bao gồm cả Salesforce. Hacker gửi file ZIP có mật khẩu hoặc liên kết lừa đảo, ngụy trang thành bài kiểm tra kỹ năng hoặc biểu mẫu tuyển dụng. Khi mở file, máy tính bị cài trojan truy cập từ xa (RAT), đánh cắp thông tin đăng nhập và có thể vượt qua xác thực đa yếu tố (MFA). Một số nạn nhân còn bị dẫn tới các trang đăng nhập giả mạo Microsoft 365, Okta.
Sau khi xâm nhập thành công, kẻ tấn công có thể chiếm quyền kiểm soát các nền tảng quản lý quảng cáo và mạng xã hội. Những tài khoản này bị lợi dụng để chạy quảng cáo gian lận hoặc bán lại cho các nhóm tội phạm khác. GTIG nhận thấy dấu hiệu hợp tác và chia sẻ công cụ giữa nhiều nhóm tội phạm tài chính trong UNC6229, được cho là có liên quan đến Việt Nam. Dù chiến dịch hiện tập trung vào chuyên gia Digital Marketing, các phương thức dựa trên lòng tin này có thể được nhân rộng sang nhiều ngành khác, đặc biệt những lĩnh vực lưu trữ dữ liệu thương mại nhạy cảm.
Google đã chặn các tên miền và file độc hại, đồng thời cảnh báo cộng đồng bảo mật. Các chuyên gia và doanh nghiệp được khuyến nghị: cảnh giác với tin tuyển dụng không rõ nguồn gốc, bật MFA mạnh, kiểm soát quyền truy cập tài khoản quảng cáo và quét file nghi ngờ trước khi mở. Một cú click sai có thể khiến hacker chiếm toàn bộ quyền kiểm soát tài khoản quảng cáo và dữ liệu doanh nghiệp, vì vậy việc kiểm tra kỹ email, link và tin tuyển dụng luôn là điều cần thiết.
Các email tấn công thường vượt qua bộ lọc spam nhờ tận dụng nền tảng SaaS uy tín và công cụ CRM, bao gồm cả Salesforce. Hacker gửi file ZIP có mật khẩu hoặc liên kết lừa đảo, ngụy trang thành bài kiểm tra kỹ năng hoặc biểu mẫu tuyển dụng. Khi mở file, máy tính bị cài trojan truy cập từ xa (RAT), đánh cắp thông tin đăng nhập và có thể vượt qua xác thực đa yếu tố (MFA). Một số nạn nhân còn bị dẫn tới các trang đăng nhập giả mạo Microsoft 365, Okta.
Sau khi xâm nhập thành công, kẻ tấn công có thể chiếm quyền kiểm soát các nền tảng quản lý quảng cáo và mạng xã hội. Những tài khoản này bị lợi dụng để chạy quảng cáo gian lận hoặc bán lại cho các nhóm tội phạm khác. GTIG nhận thấy dấu hiệu hợp tác và chia sẻ công cụ giữa nhiều nhóm tội phạm tài chính trong UNC6229, được cho là có liên quan đến Việt Nam. Dù chiến dịch hiện tập trung vào chuyên gia Digital Marketing, các phương thức dựa trên lòng tin này có thể được nhân rộng sang nhiều ngành khác, đặc biệt những lĩnh vực lưu trữ dữ liệu thương mại nhạy cảm.
Google đã chặn các tên miền và file độc hại, đồng thời cảnh báo cộng đồng bảo mật. Các chuyên gia và doanh nghiệp được khuyến nghị: cảnh giác với tin tuyển dụng không rõ nguồn gốc, bật MFA mạnh, kiểm soát quyền truy cập tài khoản quảng cáo và quét file nghi ngờ trước khi mở. Một cú click sai có thể khiến hacker chiếm toàn bộ quyền kiểm soát tài khoản quảng cáo và dữ liệu doanh nghiệp, vì vậy việc kiểm tra kỹ email, link và tin tuyển dụng luôn là điều cần thiết.
Theo whitehat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
