Trong cầm cố tìm cách xâm nhập vào máy tính một nhân viên giao kèo của cơ quan an ninh hàng không, một nhóm điệp báo mạng Iran đã giả trang thành cha nội aerobic trên Facebook. Đây có vẻ là một chiến dịch đã kéo dài nhiều năm, dùng kĩ thuật tấn công từng lớp (social engineering) và malware có chủ đích.
Hãng bảo mật doanh nghiệp Proofpoint cho rằng hoạt động bí hiểm này gây ra bởi nhóm hacker có can dự tới các chính phủ tên gọi TA456, nhóm được biết tới rộng rãi hơn trong cộng đồng bảo mật dưới những cái tên như Tortoiseshell hay Imperial Kitten.
Chia sẻ thông báo với The Hacker News, phía Proofpoint cho biết: “dùng những account mạng xã hội với tên gọi ‘Marcella Flores’, TA456 đã xây dựng mối quan hệ trên nhiều nền tảng giao thiệp cá nhân chủ nghĩa và doanh nghiệp với một nhân viên thuộc một công ty con nhỏ thuộc một nhà thầu hàng không quốc phòng. Đầu tháng Sáu năm nay, kẻ gây hại đã tìm cách kiếm lợi từ mối quan hệ này bằng cách gửi malware có chủ đích qua một chuỗi giao dịch qua email kéo dài từ lâu.”
File Excel về chế độ ăn uống được gắn macro
Đầu tháng này, phía Facebook cho hay họ đã thực hiện một số hành động để loại bỏ một chiến dịch điệp viên mạng tinh tướng thực hành bởi các hacker thuộc Tortoiseshell, với đích là khoảng 200 cá nhân chủ nghĩa và công ty có liên tưởng tới bộ phận quốc phòng và hàng không tại Hoa Kì, Anh và châu Âu, chuẩn y một mạng lưới tư cách giả trên nền tảng này. Nhóm tiến công được cho là có liên can với cảnh vệ Cách mạng Hồi giáo Iran (IRGC), bởi sự liên quan của nhóm với công ty tên gọi Mahak Rayan Afraz (MRA).
Giờ đây, theo thông báo từ Proofpoint, một trong những tư cách giả tạo ra bởi TA456 đã có sự trao đổi qua lại với một nhân viên thuộc nhà thầu hàng không quốc phòng kể từ năm 2019, trước khi tìm cách phát tán một loại malware có tên gọi LEMPO, thiết kế để theo dõi và lọc thông báo mẫn cảm trong thời gian dài. Chuỗi truyền nhiễm được kích hoạt ưng chuẩn email chứa một đường dẫn OneDrive, núp bóng trong bảng khảo sát chế độ ăn uống - nhưng cũng là một tài liệu Excel có kèm macro - hết thảy chỉ để âm thầm tải về phương tiện theo dõi bằng cách kết nối tới tên miền thuộc sở hữu của kẻ tiến công.
Facebook đã khóa account Flores khỏi nền móng của họ trong một lần “thanh trừng” những account có liên quan tới nhóm hacker Iran này.
“Nhóm TA456 đã diễn tả sự đầu tư hoạt động đáng kể bằng cách gây dựng mối quan hệ với một viên chức của đích trong nhiều năm để có thể lây nhiễm LEMPO, từ đó trinh sát một môi trường đích bảo mật cao bên trong một cứ công nghiệp quốc phòng.” , các nhà nghiên cứ từ Proofpoint kết luận. “Chiến dịch này là tỉ dụ cho bản chất kiên trì của một số nhóm hacker và mức độ giao tế giữ người với người mà chúng sẵn sàng thực hiện để tương trợ các nhiệm vụ điệp viên.”
Tôi là tác giả của trang auto thả tim miễn phí này, các bạn có thể cài mà không tốn 1 xu nào. Nếu có vấn đề gì thì Inbox tối để tôi hỗ trợ cho nhé. hoặc để lại bình luận
