Phát hiện trung gian liên kết với 3 nhóm tin tặc thực hiện chiến dịch lừa đảo

www.tuoitre.vn -   17/11/2021 12:00:00 92

Một nhóm tin tặc trung gian chưa được ghi nhận trước đây đã bị lật tẩy là nhóm cung cấp các điểm xâm nhập cho ba nhóm tin tặc khác nhau, các cuộc tấn công này đa dạng từ các mã độc ransomware với mục tiêu tài chính tới các chiến dịch lừa đảo phishing.

Phát hiện trung gian liên kết với 3 nhóm tin tặc thực hiện chiến dịch lừa đảo

Nhóm nghiên cứu của BlackBerry đặt biệt danh cho nhóm này là “Zebra2104“. Nhóm này chịu trách nhiệm cho việc cung cấp các hướng xâm nhập kỹ thuật số cho các tổ chức ransomware như MountLocker, Phobos cũng như nhóm tin tặc tấn công có chủ đích (APT) được theo dõi với biệt danh StrongPity (hay còn gọi là Promethium).

Các mối đe dọa ngày nay đang ngày càng bị chi phối bởi một nhóm những người tạm gọi là tin tặc trung gian (IABs). Những người này được biết đến nhờ việc cung cấp điểm xâm nhập của một lượng rất lớn các tổ chức từ nhiều ngành nghề khác nhau, thông qua các cửa sau (backdoor) trong hệ thống mạng của nạn nhân cho các nhóm tội phạm mạng, bao gồm cả các nhóm ransomware. Sau đó chúng đã xây dựng một hệ thống mua bán thông tin cho việc xâm nhập từ xa.

Chuyên gia của BlackBerry cho biết trong một bản báo cáo công bố vào tuần trước rằng: “IABs đầu tiên sẽ giành quyền truy cập vào mạng của nạn nhân, sau đó sẽ bán quyền truy cập này lại cho người ra giá cao nhất trên một diễn đàn ngầm ở trên dark web. Tiếp theo, người mua thường sẽ triển khai mã độc ransomware hoặc các mã độc với mục tiêu tài chính khác tùy vào mục tiêu của chiến dịch tấn công”.

Phát hiện trung gian liên kết với 3 nhóm tin tặc thực hiện chiến dịch lừa đảo

Một phân tích vào tháng 8/2021 của hơn 1000 quyền truy cập bị rao bán bởi các IABs trên các diễn đàn ngầm trên dark web cho thấy rằng giá trung bình của các quyền truy cập này rơi vào khoảng 5,400 Đô trong khoảng thời gian từ tháng 7/2020 tới tháng 8/2021. Trong đó quyền truy cập cấp quản trị vào hệ thống tên miền của các tổ chức là mặt hàng có giá trị nhất.

Cuộc điều tra của công ty an ninh mạng Canada bắt đầu với một tên miền “trashborting[.]com” được phát hiện phát tán Cobalt Strike Beacons, sử dụng nó để mở rộng cơ sở hạ tầng và kết nối với một vài chiến dịch malspam nhằm phát tán mã độc ransomware nhắm vào các công ty bất động sản và cơ quan chính quyền của Úc vào tháng 9/2020.

Ngoài ra “supercombinating[.]com”, một tên miền chị em khác được đăng ký cùng với trashborting[.]com đã được phát hiện có liên quan tới các hoạt động của MountLocker và Phobos. Thậm chí khi tên miền này được giải mã thành địa chỉ IP “91.92.109[.]174″còn để lộ ra rằng nó cũng được sử dụng để host tên miền thứ ba “mentiononecommon[.]com”từ tháng 4 tới tháng 11/2020, và được sử dụng như một máy chủ điều khiển trong một chiến dịch vào tháng 6/2020 có liên quan tới nhóm StrongPity.

Phát hiện trung gian liên kết với 3 nhóm tin tặc thực hiện chiến dịch lừa đảo

Việc IABs nhắm vào các mục tiêu đan xen nhau và rộng rãi khiến cho các chuyên gia tin rằng “họ hoặc là có nguồn nhân lực rất lớn hoặc là đã đặt rất nhiều các bẫy rõ như ban ngày trải khắp internet”. Điều này cho phép MountLocker, Phobos và StrongPity có quyền truy cập vào hệ thống mạng của các nạn nhân.

“Mạng lưới liên kết các cơ sở hạ tầng độc hại được phát hiện trong suốt nghiên cứu này đã chỉ ra rằng, các nhóm tội phạm mạng hoạt động không khác gì các tổ chức đa quốc gia trong thế giới kinh doanh hợp pháp. Họ tạo ra các mối quan hệ đối tác và liên minh để đạt được mục tiêu, có thể khẳng định rằng các mối quan hệ “đối tác kinh doanh” của những nhóm tin tặc này sẽ càng trở nên phổ biến trong tương lai”- các chuyên gia cho hay.

Theo Thehackernews

TIN CÙNG CHUYÊN MỤC

Các nhà nghiên cứu tiết lộ các lỗ hổng b...

07/05/2022 08:00:00 198
Hai lỗ hổng bảo mật mức độ nghiêm trọng cao, không bị phát hiện trong vài năm, đã được phát hiện tro...

Google phát hành bản cập nhật Android để...

06/05/2022 08:00:00 151
Google đã phát hành các bản vá bảo mật hàng tháng cho Android với các bản sửa lỗi cho 37 lỗ hổng trê...

Google sẽ thêm hỗ trợ xác thực không cần...

05/05/2022 08:00:00 155
Google hôm nay đã công bố kế hoạch triển khai hỗ trợ đăng nhập không cần mật khẩu trong Android và t...

Cảnh báo mã độc phát tán qua các bản cập...

29/04/2022 12:00:00 219
Những bản cập nhật độc hại này đang được lan truyền không giới hạn qua các trang web lậu, giả mạo.

Đã có thể yêu cầu Google xóa dữ liệu cá ...

28/04/2022 12:00:00 140
Dữ liệu này bao gồm số điện thoại, địa chỉ email và một số thông tin nhận dạng cá nhân khác.. Tất cả...

Trình duyệt Google Chrome vẫn luôn đứng ...

27/04/2022 12:00:00 168
Trong khi Chrome tuy vẫn là cái tên thống trị, nhưng đã ghi nhận sự sụt giảm nhẹ trong thị phần.
Xem thêm

TAGS

LIÊN HỆ

Thông tin liên hệ