Tin tặc Iran mạo danh nhà báo để lừa nạn nhân cài đặt mã độc

Một nhóm gián điệp mạng Iran chuyên nhắm mục tiêu vào chính phủ các nước, công nghệ quốc phòng, quân sự và ngoại giao, bị phát hiện đang mạo danh nhà báo của những trang tin tức nổi tiếng để tiếp cận các mục tiêu cấp cao trên LinkedIn và WhatsApp, nhằm mục đích lây nhiễm mã độc trên thiết bị của họ.



Công ty an ninh mạng Clearsky của Israel đã phân tích chi tiết chiến thuật mới mà nhóm tin tặc APT “Charming Kitten” sử dụng, “bắt đầu từ tháng 7 năm 2020, chúng tôi đã phát hiện được một kỹ thuật TTPs mới của nhóm tin tặc này. Công cụ tấn công chính của chúng là những email giả mạo các nhà báo từ tờ “’Deutsche Welle’ và ‘Jewish Journal’ cùng các tin nhắn WhatsApp, để tiếp cận và dụ dỗ nạn nhân click vào những link liên kết độc hại.”



Trong một phân tích vào thứ Năm tuần qua, Clearsky cho biết đây là lần đầu tiên nhóm tin tặc này tiến hành một cuộc tấn công watering hole thông qua WhatsApp và LinkedIn, cũng là lần đầu chúng thực hiện gọi điện trực tiếp cho nạn nhân.



Sau khi công ty an ninh mạng này cảnh báo Deutsche Welle về cuộc tấn công watering hole trên trang web của họ cùng việc mạo danh các phóng viên, hãng truyền thông Đức đã xác nhận, “những phóng viên mà Charming Kitten giả mạo đã không gửi bất cứ email nào cho nạn nhân hay bất kỳ học giả nào khác của Israel trong vài tuần qua.”



Charming Kitten (hay còn biết đến với các bí danh APT35, Parastoo, NewsBeef và Newscaster) đã từng bị phát hiện có liên quan mật thiết tới một loạt các chiến dịch bí mật kể từ tháng 12 năm 2017. Mục đích chính của những chiến dịch này là nhằm đánh cắp thông tin nhạy cảm từ các nhà hoạt động nhân quyền, nhà nghiên cứu học thuật và các phương tiện truyền thông.



Watering hole trong trường hợp này là một đường link độc hại được nhúng trên domain của trang tin tức Deutsche Welle. Đường link này sẽ giúp kẻ tấn công phân phối một mã độc đánh cắp thông tin qua WhatsApp. Nhưng trước đó, chúng sẽ lợi dụng những kỹ thuật tấn công phi kỹ thuật để lừa nạn nhân, là những học giả có tiếng, để đến nói chuyện tại một hội thảo trực tuyến giả mạo.



“Việc trao đổi thư từ bắt đầu bằng một email được gửi đến nạn nhân để mở đầu cuộc trò chuyện. Sau một khoảng thời gian trò chuyện ngắn với nạn nhân, tin tặc Charming Kitten sẽ đề xuất chuyển sang trao đổi trên WhatsApp. Nếu nạn nhân từ chối, kẻ tấn công sẽ gửi tin nhắn qua LinkedIn bằng một tài khoản mạo danh,” công ty an ninh mạng này phân tích.



Trong một số trường hợp, kẻ tấn công thậm chí còn tiến hành nhắn tin và gọi điện trực tiếp cho nạn nhân, nhằm chiếm được lòng tin của họ. Sau đó, chúng sẽ dần dần lừa nạn nhân bằng cách giả vờ hướng dẫn họ các thao tác kỹ thuật để tham gia vào một hội thảo trực tuyến, bằng cách sử dụng đường link độc hại đã được chia sẻ trước đó trong cuộc trò chuyện.



Mặc dù, APT35 đã tìm ra phưong thức tấn công mới để thực hiện ý đồ của mình. Tuy nhiên, đây không phải lần đầu tiên những hacker người Iran này lợi dụng các kênh truyền thông xã hội để do thám những nhân vật mà chúng quan tâm.



Vào năm 2014, iSIGHT Partners (hiện thuộc sở hữu của FireEye) đã phát hiện được một chiến dịch tấn công kéo dài trong ba năm mang tên “ Operation Newscaster “. Nhóm tin tặc này đã bị phát hiện lén lút tạo những tài khoản Facebook và thiết kế một trang tin tức giả mạo để theo dõi những quan chức cấp cao thuộc các lĩnh vực quân sự và chính trị tại Hoa Kỳ, Israel, cùng nhiều quốc gia khác.



“Điều đặc biệt của chiến dịch này là ở chỗ những kẻ tấn công sẵn sàng nói chuyện trực tiếp với nạn nhân bằng tính năng gọi điện trên WhatsApp, và chúng đã sử dụng một số điện thoại hợp pháp của Đức. Đây là một kỹ thuật TTP không phổ biến và có mức độ nguy hiểm cao, bởi các cơ quan chức năng sẽ dễ dàng tìm ra được danh tính thật của kẻ tấn công,” các nhà nghiên cứu Clearsky cho biết.



Theo The Hacker News
The post Tin tặc Iran mạo danh nhà báo để lừa nạn nhân cài đặt mã độc appeared first on SecurityDaily .