Chiến thuật đánh cắp dữ liệu của Gamaredon chỉ trong 1 tiếng

An toàn thông tin - Ngày đăng : 16:27, 18/07/2023

Gamaredon còn được gọi với những cái tên như Aqua Blizzard, Armageddon, Shuckworm hoặc UAC-0010. Đây là một tác nhân đe dọa được nhà nước bảo trợ, chúng có thể thực hiện hành vi trộm cắp dữ liệu trong vòng 1 giờ.
An toàn thông tin

Chiến thuật đánh cắp dữ liệu của Gamaredon chỉ trong 1 tiếng

Hạnh Tâm {Ngày xuất bản}

Gamaredon còn được gọi với những cái tên như Aqua Blizzard, Armageddon, Shuckworm hoặc UAC-0010. Đây là một tác nhân đe dọa được nhà nước bảo trợ, chúng có thể thực hiện hành vi trộm cắp dữ liệu trong vòng 1 giờ.

Gamaredon, tác nhân đe dọa đánh cắp dữ liệu trong vòng 1 giờ sau  xâm phạm ban đầu.

Nhóm ứng cứu khẩn cấp máy tính của Ukraine (CERT-UA) cho biết: "Xu hướng xâm phạm chính mà bọn tội phạm mạng là sử dụng phần lớn email và tin nhắn trong các ứng dụng nhắn tin (Telegram, WhatsApp, Signal), trong hầu hết các trường hợp chúng sử dụng những tài khoản đã bị xâm phạm trước đó".

Gamaredon còn được gọi với những cái tên như Aqua Blizzard, Armageddon, Shuckworm hoặc UAC-0010. Đây là một tác nhân đe dọa được nhà nước bảo trợ, có liên quan với SBU Main Office tại Crimea. Nhóm này ước tính đã lây nhiễm tới hàng ngàn máy tính của chính phủ.

a1.png

Gamaredon lợi dụng những chiến dịch lừa đảo để cung cấp các cửa hậu PowerShell (một tiện ích dòng lệnh) như GammaSteel nhằm tiến hành trinh thám và thực hiện các lệnh bổ sung.

Các tin nhắn thường kèm theo một kho lưu trữ chứa các tệp HTM hoặc HTA. Khi những tệp này được mở nó sẽ kích hoạt chuỗi tấn công.

Theo CERT-UA, GammaSteel được sử dụng để lọc ra các tệp tin phù hợp với một phần mở rộng được thiết lập cụ thể như .doc, .docx, .xls, .xlsx, .rtf, .odt, .txt, .jpg, .jpeg, .pdf, . ps1, .rar, .zip, .7z và .mdb trong khoảng thời gian từ 30 - 50 phút.

Người ta cũng đã quan sát thấy nhóm này liên tục phát triển các chiến thuật của mình, chúng sử dụng cả các kỹ thuật lây nhiễm qua USB để lan truyền. CERT-UA lưu ý rằng một máy chủ đã bị xâm phạm nếu vẫn hoạt động trong 1 tuần có thể chứa từ 80 - 120 tệp độc hại.

Cũng đáng chú ý là việc tác nhân đe dọa sử dụng phần mềm AnyDesk để tương tác truy cập từ xa, các tập lệnh PowerShell chiếm quyền điều khiển phiên để bỏ qua xác thực hai yếu tố (2FA) và Telegram cùng Telegraph tìm nạp thông tin máy chủ chỉ huy và kiểm soát (C2).

CERT-UA cho biết: “Những kẻ tấn công thực hiện các biện pháp riêng biệt để đảm bảo khả năng chịu lỗi (fault tolerance) của cơ sở hạ tầng mạng của chúng và tránh bị phát hiện ở cấp độ mạng. Trong 1 ngày, địa chỉ IP của các nút điều khiển trung gian có thể thay đổi từ 3 - 6 lần trở lên"./.

Hạnh Tâm