Nguyễn Tiến Đạt
Intern Writer
Chiến dịch tấn công lan rộng tại khu vực MENA
Nhóm tin tặc có liên hệ với Iran – MuddyWater – vừa bị phát hiện tiến hành một chiến dịch gián điệp mới, khai thác tài khoản email bị xâm phạm để phát tán phần mềm độc hại có tên Phoenix đến hơn 100 tổ chức, chủ yếu tại Trung Đông và Bắc Phi (MENA).
Theo báo cáo kỹ thuật từ công ty an ninh mạng Group-IB (Singapore), mục tiêu của chiến dịch là xâm nhập các cơ quan có giá trị cao nhằm phục vụ hoạt động thu thập thông tin tình báo.
Khoảng 75% nạn nhân là đại sứ quán, phái đoàn ngoại giao, bộ ngoại giao và lãnh sự quán, còn lại là tổ chức quốc tế và doanh nghiệp viễn thông.
Các nhà nghiên cứu Mahmoud Zohdy và Mansour Alhmoud cho biết MuddyWater truy cập email bị xâm nhập thông qua dịch vụ NordVPN – một công cụ hợp pháp nhưng bị lợi dụng – để gửi email lừa đảo trông có vẻ xác thực, khiến người nhận dễ bị dụ mở tệp đính kèm.
Những tệp này là tài liệu Microsoft Word được mã hóa, yêu cầu bật macro để xem nội dung. Khi người dùng thực hiện, mã VBA độc hại sẽ chạy ngầm, cài đặt cửa hậu Phoenix phiên bản 4.
Phoenix - công cụ gián điệp tinh vi mới của MuddyWater
Mã độc Phoenix được triển khai thông qua trình tải FakeUpdate, giải mã và ghi vào đĩa bởi VBA dropper. Dữ liệu Phoenix được mã hóa bằng chuẩn AES, giúp tăng độ khó trong việc phát hiện.
Nhóm MuddyWater, còn được biết đến với nhiều bí danh như Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (trước đây là Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros và Yellow Nix, được cho là liên kết với Bộ Tình báo và An ninh Iran (MOIS).
Hoạt động từ ít nhất năm 2017, nhóm này nổi tiếng với việc kết hợp mã độc tùy chỉnh và công cụ hợp pháp nhằm che giấu hành vi.
Theo Group-IB, máy chủ điều khiển C2 (159.198.36[.]115) của chiến dịch được phát hiện lưu trữ công cụ giám sát từ xa (RMM) và phần mềm đánh cắp thông tin trình duyệt như Brave, Chrome, Edge và Opera.
Các chuyên gia cho rằng MuddyWater đang sử dụng kết hợp Phoenix, FakeUpdate, công cụ đánh cắp dữ liệu và phần mềm RMM hợp pháp như PDQ và Action1, cho phép duy trì quyền kiểm soát và ẩn mình hiệu quả hơn.
Nhờ cách này, nhóm tin tặc vừa khó bị phát hiện, vừa dễ dàng xâm nhập sâu vào hệ thống mục tiêu, tiếp tục khẳng định vị thế của MuddyWater như một trong những mối đe dọa an ninh mạng hàng đầu đến từ Iran. (Thehackernews)
Nhóm tin tặc có liên hệ với Iran – MuddyWater – vừa bị phát hiện tiến hành một chiến dịch gián điệp mới, khai thác tài khoản email bị xâm phạm để phát tán phần mềm độc hại có tên Phoenix đến hơn 100 tổ chức, chủ yếu tại Trung Đông và Bắc Phi (MENA).
Theo báo cáo kỹ thuật từ công ty an ninh mạng Group-IB (Singapore), mục tiêu của chiến dịch là xâm nhập các cơ quan có giá trị cao nhằm phục vụ hoạt động thu thập thông tin tình báo.
Khoảng 75% nạn nhân là đại sứ quán, phái đoàn ngoại giao, bộ ngoại giao và lãnh sự quán, còn lại là tổ chức quốc tế và doanh nghiệp viễn thông.
Các nhà nghiên cứu Mahmoud Zohdy và Mansour Alhmoud cho biết MuddyWater truy cập email bị xâm nhập thông qua dịch vụ NordVPN – một công cụ hợp pháp nhưng bị lợi dụng – để gửi email lừa đảo trông có vẻ xác thực, khiến người nhận dễ bị dụ mở tệp đính kèm.
Những tệp này là tài liệu Microsoft Word được mã hóa, yêu cầu bật macro để xem nội dung. Khi người dùng thực hiện, mã VBA độc hại sẽ chạy ngầm, cài đặt cửa hậu Phoenix phiên bản 4.
Phoenix - công cụ gián điệp tinh vi mới của MuddyWater
Mã độc Phoenix được triển khai thông qua trình tải FakeUpdate, giải mã và ghi vào đĩa bởi VBA dropper. Dữ liệu Phoenix được mã hóa bằng chuẩn AES, giúp tăng độ khó trong việc phát hiện.
Nhóm MuddyWater, còn được biết đến với nhiều bí danh như Boggy Serpens, Cobalt Ulster, Earth Vetala, Mango Sandstorm (trước đây là Mercury), Seedworm, Static Kitten, TA450, TEMP.Zagros và Yellow Nix, được cho là liên kết với Bộ Tình báo và An ninh Iran (MOIS).
Hoạt động từ ít nhất năm 2017, nhóm này nổi tiếng với việc kết hợp mã độc tùy chỉnh và công cụ hợp pháp nhằm che giấu hành vi.
Theo Group-IB, máy chủ điều khiển C2 (159.198.36[.]115) của chiến dịch được phát hiện lưu trữ công cụ giám sát từ xa (RMM) và phần mềm đánh cắp thông tin trình duyệt như Brave, Chrome, Edge và Opera.
Các chuyên gia cho rằng MuddyWater đang sử dụng kết hợp Phoenix, FakeUpdate, công cụ đánh cắp dữ liệu và phần mềm RMM hợp pháp như PDQ và Action1, cho phép duy trì quyền kiểm soát và ẩn mình hiệu quả hơn.
Nhờ cách này, nhóm tin tặc vừa khó bị phát hiện, vừa dễ dàng xâm nhập sâu vào hệ thống mục tiêu, tiếp tục khẳng định vị thế của MuddyWater như một trong những mối đe dọa an ninh mạng hàng đầu đến từ Iran. (Thehackernews)
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview
