Nhóm tội phạm mạng được biết đến với các tên APT40, Leviathan, TA423 và Red Ladon. 4 trong số các thành viên của nhóm này đã bị Bộ Tư pháp Mỹ truy tố năm 2021 vì đã hack vào một số công ty, trường đại học và chính phủ ở Mỹ và trên toàn thế giới từ năm 2011 đến 2018.

Nhóm hacker sử dụng trang tin tức giả mạo của Úc để lây nhiễm cho khách truy cập trong khung (framework) khai thác ScanBox, “ScanBox là một framework do thám và khai thác được triển khai bởi kẻ tấn công nhằm thu thập các thông tin như địa chỉ IP công khai của mục tiêu, loại trình duyệt web được sử dụng và cấu hình website,” Phó Chủ tịch Proofpoint về Điều nghiên và Phát hiện Mối đe dọa Sherrod DeGrippo giải thích.

Cô nói với TechNewsWorld: “ScanBox đóng vai trò một thiết lập chuẩn bị cho các giai đoạn thu thập thông tin và khả năng khai thác hoặc xâm nhập, khi phần mềm độc hại được triển khai và cài đặt ổn định trên hệ thống của nạn nhân, cho phép hacker thực hiện các hoạt động do thám và thu thập thông tin. ScanBox sẽ thu thập một khái niệm về hệ thống mạng của nạn nhân, sau đó những kẻ tấn công nghiên cứu và quyết định chon con đường tốt nhất để thực hiện các hoạt động đánh cắp thông tin.”

John Bambenek, một điều tra viên các mối đe dọa mạng tại Netenrich , công ty CNTT và an ninh kỹ thuật số có trụ sở tại San Jose, California nói với TechNewsWorld: “Sử dụng thủ đoạn này, rất khó để phát hiện được, thông tin đang bị đánh cắp từ hệ thống”.

Module tấn công mạng

Theo blog Proofpoint / PwC, nhóm TA423 chủ yếu nhắm vào các cơ quan chính phủ địa phương và liên bang của Úc, các công ty truyền thông báo chí của Úc và các nhà sản xuất công nghiệp nặng toàn cầu đang tiến hành bảo trì các nhóm tuabin điện gió trên Biển Đông. Những email lừa đảo cho chiến dịch được gửi từ các địa chỉ email mạng xã hội Gmail và Outlook, theo Proofpoint đánh giá, được những kẻ tấn công tạo ra với "độ tin cậy vừa phải".

Các dòng chủ đề trong email lừa đảo bao gồm “Nghỉ ốm”, “Nghiên cứu người dùng” và “Yêu cầu hợp tác”.

Những kẻ tấn công mạng thường đóng vai là nhân viên của ấn phẩm truyền thông hư cấu “Tin tức buổi sáng Úc”, blog giải thích và cung cấp một URL tên miền độc hại, lôi kéo các nạn nhân xem trang web giả mạo hoặc chia sẻ nội dung nghiên cứu mà trang web này xuất bản.

Nếu một nạn nhân nhấp vào URL, đường link sẽ dẫn đến trang web tin tức giả mạo và tự động phân phối phần mềm độc hại ScanBox vào thiết bị đang sử dụng mà nạn nhân không thể nhận biết. Để tạo uy tín cho trang web giả mạo, các tội phạm mạng đăng nội dung từ các trang tin tức hợp pháp như BBC và Sky News.

ScanBox có thể phân phối mã độc theo hai cách: trong một khối duy nhất, cho phép kẻ tấn công truy cập ngày vào phần mềm độc hai được cài đặt với đầy đủ chức năng hoặc dưới dạng trình cắm thêm, kiến ​​trúc module. Nhóm TA423 chọn phương pháp trình cắm thêm.

Theo PwC, lộ trình module có thể giúp tránh các sự cố và thông báo lỗi của hệ thống, có thể cảnh báo nạn nhân rằng hệ thống đang bị tấn công. Đó cũng là một cách để giảm khả năng bộc lộ cuộc tấn công mạng đối với các quản trị mạng.

Gia tăng lừa đảo trực tuyến

Những hoạt động xâm nhập này cho thấy, lừa đảo vẫn là công cụ quan trọng được sử dụng để thâm nhập vào nhiều tổ chức và lấy cắp dữ liệu. Monnia Deng, giám đốc tiếp thị sản phẩm của Bolster, nhà cung cấp bảo vệ rủi ro kỹ thuật số tự động, ở Los Altos, California nhận xét: “Các trang web lừa đảo đã gia tăng đột biến trong năm 2022 .

Bà nói với TechNewsWorld: “Nghiên cứu cho thấy, các trang web giả mạo đã tăng vọt gấp 10 lần vào năm 2022 vì phương pháp này dễ triển khai, hiệu quả và là một phương pháp tấn công hoàn hảo trong kỷ nguyên kỹ thuật số hậu đại dịch.

DeGrippo khẳng định, các nhóm lừa đảo vẫn tiếp tục hoạt động vì những kẻ tấn công mạng có khả năng tương thích ứng. “Hacker sử dụng các vấn đề thời sự và các kỹ thuật xã hội tổng thể, thường nhằm vào tâm trạng lo sợ, cảm giác cấp bách hoặc tầm quan trọng của vấn đề.

Xu hướng gần đây của những kẻ tấn công là cố gắng tăng hiệu quả các chiến dịch tấn công mạng bằng phương pháp xây dựng lòng tin với các nạn nhân thông qua các cuộc trò chuyện mở rộng với các cá nhân hoặc thông qua các chủ đề trò chuyện hiện có giữa các đồng nghiệp.

Roger Grimes, một chuyên gia bảo mật của KnowBe4, cung cấp các khóa đào tạo nâng cao nhận thức về bảo mật, ở Clearwater, Florida khẳng định rằng rất khó có được các biện pháp phòng thủ kỹ thuật trước các cuộc tấn công kỹ thuật xã hội.

Ông nói với TechNewsWorld: “Dù cố gắng hết sức có thể, cho đến nay vẫn chưa có biện pháp phòng thủ kỹ thuật nào ngăn chặn được tất cả các cuộc tấn công kỹ thuật xã hội. Vấn đề đặc biệt khó vì các cuộc tấn công kỹ thuật xã hội thường đến qua email, điện thoại, tin nhắn văn bản và mạng xã hội.

Ông cũng lưu ý rằng, hầu hết các cuộc tấn công kỹ thuật xã hội đều có 2 điểm chung. Thứ nhất là thông tin đến bất ngờ, người dùng không mong đợi. Thứ hai, kẻ tấn công (có thể giả danh) thường yêu cầu người dùng làm điều gì đó mà người bị giả danh chưa bao giờ yêu cầu người dùng làm trước đây.