APT29/Cozy Bear với chiến dịch lừa đảo quy mô lớn

Sau một thời gian gián đoạn kéo dài hai năm, APT29 hay Cosy Bear, đã trở lại với một chiến dịch lừa đảo quy mô lớn nhắm vào các tổ chức của Hoa Kỳ trên nhiều lĩnh vực.

Các nhà nghiên cứu từ công ty an ninh mạng FireEye cho biết gần đây họ đã nhận thấy một email lừa đảo giả danh Bộ Ngoại giao Hoa Kỳ gửi cho các cá nhân trong quân đội, chính phủ, các cơ quan thực thi pháp luật, dược phẩm, giao thông và các lĩnh vực khác.

Các chiến thuật, kỹ thuật và thủ tục được sử dụng trong chiến dịch, cũng như mục tiêu nhắm tới, tương tự như những thứ được APT29 sử dụng ngay sau cuộc tổng tuyển cử của Hoa Kỳ vào tháng 11 năm 2016.

FireEye nói rằng họ vẫn đang phân tích hoạt động và chưa có kết luận cuối cùng. Nhưng có đủ sự tương đồng giữa chiến dịch lừa đảo hiện tại và chiến dịch trong năm 2016 cho thấy APT29 đứng đằng sau chiến dịch này. Ví dụ: việc xây dựng email lừa đảo, cơ sở hạ tầng mạng và payload (phần dữ liệu vận chuyển của một gói tin giữa 2 đối tác), tất cả đều được liên kết trực tiếp với APT29 trong quá khứ.

"Chúng tôi đã không thấy các cuộc tấn công lừa đảo quy mô lớn từ nhóm này trong hai năm nhưng chúng tôi đã thấy hoạt động tương tự từ chúng trước đây", Matthew Dunwoody, kiến ​​trúc sư bảo mật cao cấp tại FireEye nói. Trước đó, động lực của APT29 cho các cuộc tấn công như vậy là quyền tiếp cận với một số loại dữ liệu địa chính trị. "Quy mô lớn của cuộc tấn công cho thấy có thể chúng đang cố gắng che giấu mục tiêu thực sự của mình", ông nói.

Trong một báo cáo tuần này, FireEye đã mô tả chiến dịch mới nhất của APT29/Cosy Bear liên quan đến một email lừa đảo giả dạng các phương thức liên lạc an toàn từ một quan chức công vụ của Bộ Ngoại giao. Các liên kết trong tài liệu dẫn đến một tệp zip chứa một tệp lối tắt Windows được thiết kế để thả các tài liệu trông có vẻ lành tính cũng như Cobalt Strike Beacon - một công cụ thương mại kiểm tra hệ thống - trên hệ thống bị xâm phạm.

Những kẻ tấn công đã xâm phạm máy chủ email của bệnh viện và trang web của một công ty tư vấn, sử dụng chúng làm cơ sở hạ tầng cho chiến dịch lừa đảo. Máy chủ email của bệnh viện được sử dụng để gửi email lừa đảo trong khi trang web của công ty tư vấn được sử dụng để lưu trữ các tệp zip được liên kết trong email, Dunwoody nói.

Đáng chú ý, APT28 có khuynh hướng nhanh chóng chuyển đổi bộ lây nhiễm giả mạo đầu tiên bằng một tập hợp các phần mềm độc hại hoạt động theo phương thức khác sau cuộc tấn công ban đầu, Dunwoody cho biết. "Những nỗ lực tìm phần mềm độc hại trên các hệ thống khác sẽ thất bại và nếu hàng phòng thủ quá háo hức mà không dành thời gian để hiểu rõ hoạt động của chúng, họ có thể bỏ lỡ phần mềm độc hại mới và tuyên bố rằng mình chiến thắng trong khi APT29 trốn thoát khỏi mạng của họ." ông giải thích.

Vì những lý do mà FireEye vẫn chưa thể hiểu một cách đầy đủ, những kẻ tấn công dường như đã cố tình sử dụng lại các HTTP lừa đảo đã được liên kết với APT29 trong quá khứ. Ngay cả máy ảo hoặc trình tạo được sử dụng để tạo lối tắt Windows trong chiến dịch hiện tại cũng giống như lối tắt được sử dụng trong năm 2016.

"Chúng tôi đã xem xét một số lý thuyết nhưng chúng tôi vẫn chưa có một câu trả lời dứt khoát", Dunwoody nói. "Điều này chắc chắn có chủ ý và có vẻ là để tạo ra một chấn động, nhưng lý do đằng sau nó vẫn chưa rõ ràng." Động cơ có thể bao gồm một hoạt động che giấu hoặc một nỗ lực của những kẻ tấn công trong việc gieo rắc rối và sự không chắc chắn trong cộng đồng nghiên cứu.

Do mục tiêu được nhắm rộng rãi trong chiến dịch mới nhất, các tổ chức mà APT29 đã nhắm mục tiêu trước đó nên lưu ý. Nhưng thay vì quá tập trung vào các thuộc tính, các hàng phòng thủ cần phải chú ý đến hoạt động và cách nó có thể tác động đến họ. "Điều cần lưu ý là cuộc tấn công này được thực hiện bởi một kẻ có tay nghề cao và quan trọng là phải hiểu đầy đủ các hoạt động", Nick Carr, quản lý cấp cao tại FireEye nói. "Cho dù hoạt động này có được thực hiện bởi APT29 hay không, các hàng phòng thủ mạng tại các công ty bị nhắm mục tiêu nên tập trung vào việc điều tra một cách đúng đắn sự xâm nhập."

APT29/Cozy Bear là một trong ít nhất hai nhóm đe dọa dai dẳng tiên tiến. Nhóm này đã hoạt động từ ít nhất năm 2014 và đã được liên kết với nhiều cuộc tấn công chống lại các tổ chức ở Hoa Kỳ và các nơi khác, bao gồm cả trang web của Ủy ban Dân chủ Quốc gia (DNC) vào năm 2016.

Trojan mới của Fancy Bear

Nhóm còn lại được cho là APT28, hay còn gọi là Fancy Bear hoặc Sofacy - một nhóm được biết đến với mục tiêu là nhắm vào các tổ chức trong lĩnh vực cơ sở hạ tầng trọng yếu như quốc phòng, hàng không vũ trụ, năng lượng và chính phủ.

Trong một báo cáo trong tuần này, Palo Alto Networks cho biết nhóm đã bắt đầu sử dụng một Trojan mới có tên là Cannon, ngoài Zebrocy Trojan thông thường, trong các cuộc tấn công gần đây vào các chính phủ ở Bắc Mỹ và châu Âu.

Cannon, giống như Zebrocy, được thiết kế để tải xuống phần mềm độc hại bổ sung trên hệ thống đã bị xâm phạm. Nhưng Cannon khác với Zobrocy ở chỗ nó sử dụng một tập hợp các tài khoản email của các nhà cung cấp dịch vụ email hợp pháp thay vì HTTP cho liên lạc điều khiển qua lệnh (command-and-control – C2), Bryan Lee, nhà nghiên cứu chính của Unit 42 tại Palo Alto Networks nói.

Lee cho biết, việc sử dụng một nhà cung cấp dịch vụ email hợp pháp làm proxy cho liên lạc C2 có thể khiến cho các hàng phòng thủ khó phát hiện và ngăn chặn hoạt động hơn. Khả năng hiển thị đầy đủ về những ứng dụng nào đang được cho phép hoặc truy cập trong mạng có thể cực kỳ hiệu quả trong việc xác định các cuộc xâm nhập có thể xảy ra trong những tình huống như thế này", ông nói.