🔒 UAC-0050 nhắm mục tiêu vào tổ chức tài chính châu Âu bằng tên miền giả mạo và phần mềm độc hại RMS

Người ta đã quan sát thấy một tác nhân đe dọa liên kết với Nga nhắm mục tiêu vào một tổ chức tài chính châu Âu như một phần của cuộc tấn công kỹ thuật xã hội nhằm tạo điều kiện thuận lợi cho việc thu thập thông tin tình báo hoặc đánh cắp tài chính, báo hiệu khả năng mở rộng mục tiêu của tác nhân đe dọa ra ngoài Ukraine và vào các thực thể hỗ trợ quốc gia bị chiến tranh tàn phá này.

📋 Nội dung chi tiết

Hoạt động này nhắm vào một thực thể giấu tên liên quan đến các sáng kiến ​​tái thiết và phát triển khu vực, được cho là do một nhóm tội phạm mạng được theo dõi là UAC-0050 (còn gọi là DaVinci Group). BlueVoyant đã chỉ định tên Mercenary Akula cho cụm mối đe dọa. Cuộc tấn công đã được quan sát vào đầu tháng này.

Các nhà nghiên cứu Patrick McHale và Joshua Greensaidin đã chia sẻ một báo cáo với The Hacker News: “Cuộc tấn công đã giả mạo miền tư pháp của Ukraine để gửi email chứa liên kết đến trọng tải truy cập từ xa”. “Mục tiêu là cố vấn chính sách và pháp lý cấp cao liên quan đến mua sắm, một vai trò có đặc quyền hiểu biết sâu sắc về hoạt động của tổ chức và cơ chế tài chính.”

Điểm bắt đầu là một email lừa đảo sử dụng các chủ đề pháp lý để hướng dẫn người nhận tải xuống tệp lưu trữ được lưu trữ trên PixelDrain, một dịch vụ chia sẻ tệp được kẻ đe dọa sử dụng để vượt qua các biện pháp kiểm soát bảo mật dựa trên danh tiếng.

ZIP chịu trách nhiệm khởi tạo chuỗi lây nhiễm nhiều lớp. Hiện diện trong tệp ZIP là kho lưu trữ RAR chứa tệp 7-Zip được bảo vệ bằng mật khẩu, bao gồm tệp thực thi giả dạng tài liệu PDF bằng cách sử dụng thủ thuật mở rộng kép bị lạm dụng rộng rãi (*.pdf.exe).

🔍 Thông tin bổ sung

Việc thực thi dẫn đến việc triển khai trình cài đặt MSI cho Hệ thống thao tác từ xa (RMS), một phần mềm máy tính từ xa của Nga cho phép điều khiển từ xa, chia sẻ màn hình và truyền tệp.

Các nhà nghiên cứu lưu ý: “Việc sử dụng các công cụ 'sống ngoài đất liền' như vậy mang lại cho kẻ tấn công quyền truy cập liên tục, lén lút trong khi thường trốn tránh sự phát hiện của phần mềm chống vi-rút truyền thống”.

Việc sử dụng phương thức hoạt động RMSalignswithprior UAC-0050, trong đó tác nhân đe dọa được biết là sẽ loại bỏ phần mềm truy cập từ xa hợp pháp như LiteManager và các trojan truy cập từ xa như RemcosRAT trong các cuộc tấn công nhắm vào Ukraina.

Nhóm ứng phó khẩn cấp máy tính của Ukraine (CERT-UA) đã mô tả UAC-0050 là một nhóm lính đánh thuê liên kết với các cơ quan thực thi pháp luật của Nga tiến hành thu thập dữ liệu, đánh cắp tài chính cũng như các hoạt động thông tin và tâm lý dưới nhãn hiệu Fire Cells.

🔍 Thông tin bổ sung

BlueVoyant cho biết: “Cuộc tấn công này phản ánh hồ sơ tấn công lặp đi lặp lại và được thiết lập tốt của Mercenary Akula, đồng thời mang lại một sự phát triển đáng chú ý”. "Đầu tiên, mục tiêu của họ chủ yếu tập trung vào các thực thể có trụ sở tại Ukraine, đặc biệt là kế toán và nhân viên tài chính. Tuy nhiên, vụ việc này cho thấy khả năng bị điều tra các tổ chức hỗ trợ Ukraine ở Tây Âu."

Tiết lộ này được đưa ra khi Ukraine tiết lộ rằng các cuộc tấn công mạng của Nga nhằm vào cơ sở hạ tầng năng lượng của nước này đang ngày càng tập trung vào việc thu thập thông tin tình báo để hướng dẫn các cuộc tấn công tên lửa thay vì làm gián đoạn ngay lập tức các hoạt động, The Record đưa tin.

Công ty an ninh mạng CrowdStrike, trong Báo cáo mối đe dọa toàn cầu hàng năm, cho biết họ hy vọng các đối thủ của Nga sẽ tiếp tục tiến hành các hoạt động gây hấn với mục tiêu thu thập thông tin tình báo từ các mục tiêu Ukraine và các quốc gia thành viên NATO.

Điều này bao gồm các nỗ lực doAPT29 (còn gọi là Cosy Bear và Midnight Blizzard) thực hiện nhằm khai thác "một cách có hệ thống" lòng tin, uy tín của tổ chức và tính hợp pháp của nền tảng như một phần của các chiến dịch lừa đảo trực tuyến nhắm vào các tổ chức phi chính phủ (NGO) có trụ sở tại Hoa Kỳ và một pháp nhân có trụ sở tại Hoa Kỳ để có được quyền truy cập trái phép vào tài khoản Microsoft của nạn nhân.

CrowdStrike cho biết: “Cozy Bear đã xâm nhập hoặc mạo danh thành công các cá nhân mà người dùng mục tiêu duy trì mối quan hệ chuyên nghiệp đáng tin cậy”. “Các cá nhân mạo danh bao gồm nhân viên từ các chi nhánh NGO quốc tế và các tổ chức thân Ukraine.”

“Kẻ thù đã đầu tư rất nhiều vào việc chứng minh những hành vi mạo danh này, sử dụng tài khoản email hợp pháp của các cá nhân bị xâm nhập cùng với các kênh liên lạc ghi để củng cố tính xác thực.”

📌 Kết luận

Đây là một sự kiện đáng chú ý trong lĩnh vực an ninh mạng. Người dùng và doanh nghiệp cần cập nhật các biện pháp bảo mật để bảo vệ hệ thống của mình.