Chiến dịch gián điệp mạng kéo dài 6 năm nhắm tới người bất đồng chính kiến ​​ở Iran

Một nghiên cứu mới đây đã cho thấy bức tranh toàn cảnh về một chiến dịch giám sát kéo dài 6 năm nhắm tới những công dân Iran bất đồng chính kiến đang sinh sống ở nước ngoài​, với mục đích đánh cắp thông tin nhạy cảm của họ .



Kẻ tấn công bị nghi ngờ là người gốc Iran, hắn đã lên kế hoạch tấn công nhắm tới ít nhất hai mục tiêu chính là người dùng hệ điều hành Windows và Android. Hắn kết hợp sử dụng nhiều công cụ tấn công khác nhau như trình đánh cắp thông tin (info stealer) và backdoor để thu thập các tài liệu cá nhân, mật khẩu, các tin nhắn Telegram và mã xác thực hai yếu tố từ các tin nhắn SMS (2FA).



Gọi chiến dịch này là “Rampant Kitten”, công ty an ninh mạng Check Point cho biết bộ công cụ mã độc được sử dụng chủ yếu để nhắm tới một bộ phận thiểu số người Iran, các tổ chức chống chính quyền, các phong trào phản kháng như Hiệp hội những người lưu vong tại trại tị nạn Ashraf và cư dân tự do (AFALR), Tổ chức Kháng chiến Quốc gia Azerbaijan, và các công dân của Balochistan.



Windows Info-Stealer tấn công KeePass và Telegram



Theo Check Point, chuỗi lây nhiễm bắt đầu từ một tài liệu Microsoft Word có chứa mã độc được đặt tên là “Chính quyền sợ sự lây lan của cuộc cách mạng Cannons.docx”. Khi file word này được mở, nó sẽ thực thi một payload ở giai đoạn tiếp để kiểm tra xem liệu có sự hiện diện của ứng dụng Telegram trên hệ thống Windows hay không. Nếu có, nó sẽ hãy thả thêm ba tệp thực thi độc hại khác để tải xuống các mô-đun phụ trợ (auxiliary module) và trích xuất các các file liên quan đến Telegram Desktop và KeePass từ máy tính của nạn nhân.



Việc trích xuất các file trên sẽ cho phép kẻ tấn công giành quyền kiểm soát tài khoản Telegram của nạn nhân, từ đó đánh cắp tin nhắn, cũng như cóp nhặt tất cả các file với phần mở rộng cụ thể và chuyển tới một máy chủ mà chúng kiểm soát.



Nghiên cứu cũng xác nhận bản tư vấn bảo mật mà Cơ quan An ninh mạng và Cơ sở hạ tầng Hoa Kỳ (CISA) công bố đầu tuần này. Bản tư vấn đã phân tích chi tiết cách một kẻ tấn công người Iran sử dụng PowerShell script để truy cập vào thông tin đăng nhập được mã hóa bằng mật khẩu và được lưu trữ trên phần mềm quản lý mật khẩu của KeePass.



Bên cạnh đó, kẻ tấn công còn đánh cắp thông tin từ tài khoản Telegram bằng cách ngụy trang các trang lừa đảo phishing dưới dạng các trang web của Telegram, bao gồm cả việc tạo ra các thông báo cập nhật tính năng giả nhằm truy cập trái phép vào tài khoản của nạn nhân.



Đánh cắp mã xác thực hai yếu tố từ tin nhắn SMS của Google



Mặt khác, Android backdoor của kẻ tấn công được cài đặt bằng cách giả mạo một ứng dụng hỗ trợ những người nói tiếng Ba Tư ở Thụy Điển lấy bằng lái xe. Ứng dụng độc hại này có khả năng ghi lại môi trường xung quanh của điện thoại bị nhiễm độc và truy xuất thông tin danh bạ của nạn nhân.



Đặc biệt, ứng dụng giả mạo còn được thiết kế để chặn và chuyển tất cả các tin nhắn SMS bắt đầu bằng tiền tố ‘G-‘ (thường được sử dụng cho việc xác thực hai yếu tố qua SMS của Google) tới một số điện thoại mà nó nhận được từ máy chủ C2. Từ đó cho phép kẻ tấn công đánh cắp thông tin xác thực của nạn nhân, bằng cách đăng nhập vào tài khoản Google hợp pháp và vượt qua xác thực 2FA.



Check Point cho biết họ đã phát hiện ra nhiều biến thể khác nhau của mã độc từ năm 2014. Một số phiên bản của nó được sử dụng đồng thời nhưng giữa chúng có sự khác biệt đáng kể về cấu tạo cũng như chức năng.



“Chúng tôi nhận thấy rằng mặc dù một số biến thể được sử dụng đồng thời, nhưng chúng được viết bằng các ngôn ngữ lập trình khác nhau, sử dụng đa dạng các giao thức truyền thông tin và không phải lúc nào cũng đánh cắp cùng một loại thông tin,” công ty an ninh mạng cho biết.



Chiến dịch giám sát nhắm tới những người bất đồng chính kiến



Việc lựa chọn các mục tiêu tấn công là những tổ chức bất đồng chính kiến như Mujahedin-e Khalq ( MEK ) và Tổ chức kháng chiến quốc gia Azerbaijan ( ANRO ), đã cho thấy nhóm tin tặc này có khả năng cao đang làm việc theo lệnh của chính phủ Iran, như những phát hiện trong một loạt cáo trạng gần đây của Bộ Tư pháp Hoa Kỳ.



“Việc xung đột ý thức hệ giữa các những người thuộc phong trào chống đối và chính quyền Iran đã khiến họ trở thành mục tiêu cho những chiến dịch tấn công mạng có yếu tố chính trị như trên,” Check Point cho biết.



“Ngoài ra, việc dồn trọng tâm vào đánh cắp các tài liệu nhạy cảm và chiếm quyền truy cập vào các tài khoản KeePass và Telegram đã cho thấy những kẻ tấn công rất quan tâm đến việc thu thập thông tin tình báo và theo dõi hoạt động của những nạn nhân.”



Theo The Hacker News
The post Chiến dịch gián điệp mạng kéo dài 6 năm nhắm tới người bất đồng chính kiến ​​ở Iran appeared first on SecurityDaily .