Khẩn cấp: Chiến dịch lừa đảo tinh vi nhắm UKR.NET từ APT28

Một chiến dịch lừa đảo mới nhằm mục tiêu thu thập thông tin đăng nhập đã được phát hiện, nhắm vào người dùng của UKR.NET, một nền tảng webmail và tin tức phổ biến tại Ukraine. Các cuộc tấn công thu thập thông tin đăng nhập này được liên kết với một nhóm tấn công tinh vi được biết đến với tên gọi BlueDelta (còn gọi là APT28, Fancy Bear, và Forest Blizzard).

Nhóm đe dọa này đã thực hiện các hoạt động trong hơn một thập kỷ, tập trung vào việc đánh cắp thông tin đăng nhập từ các cơ quan chính phủ, nhà thầu quốc phòng và các mục tiêu nhạy cảm khác.

Chiến Dịch Lừa Đảo UKR.NET: Mục Tiêu và Phương Pháp

Trong khoảng thời gian từ tháng 6 năm 2024 đến tháng 4 năm 2025, các đối tượng tấn công đã tạo ra các trang đăng nhập UKR.NET giả mạo. Mục đích chính là đánh cắp tên người dùng, mật khẩu và mã xác thực hai yếu tố (2FA) từ người dùng Ukraine.

Các trang giả mạo này được lưu trữ trên các dịch vụ web miễn phí như Mocky và DNS EXIT. Việc sử dụng các nền tảng này giúp các đối tượng tấn công che giấu dấu vết và làm cho việc truy tìm trở nên khó khăn hơn.

Kẻ tấn công đã gửi các tệp PDF chứa liên kết đến các cổng đăng nhập giả mạo này cho nạn nhân. Phương pháp này giúp chúng né tránh các hệ thống bảo mật email tự động và các công cụ sandbox quét nội dung độc hại. Các kỹ thuật né tránh này là một phần quan trọng của chiến dịch lừa đảo tinh vi.

Thay Đổi Hạ Tầng Tấn Công và Kỹ Thuật Proxy

Các nhà phân tích từ Recorded Future đã xác định rằng BlueDelta đã thay đổi phương pháp sau khi các cơ quan thực thi pháp luật phá vỡ hạ tầng trước đây của chúng vào đầu năm 2024. Thay vì sử dụng các bộ định tuyến bị xâm nhập như trước, nhóm này đã chuyển sang sử dụng các nền tảng proxy tunneling như ngrok và Serveo.

Các dịch vụ này cho phép chúng che giấu vị trí thực tế của máy chủ, đồng thời vẫn có thể thu thập thông tin đăng nhập của nạn nhân. Sự chuyển đổi này cho thấy khả năng thích ứng cao của nhóm và là một ví dụ về mối đe dọa mạng liên tục thay đổi chiến thuật.

Chiến dịch này minh chứng cho nỗ lực dai dẳng của các nhóm tình báo nhằm thu thập thông tin nhạy cảm từ người dùng Ukraine trong bối cảnh xung đột đang diễn ra. Đây là một hình thức tấn công thu thập thông tin đăng nhập có chủ đích và có tính bền bỉ cao.

Chi Tiết Kỹ Thuật: Mã JavaScript và Khai Thác

Các trang đăng nhập giả mạo sử dụng mã JavaScript tùy chỉnh để thu thập thông tin người dùng và gửi đến các máy chủ do kẻ tấn công kiểm soát. Mã này không chỉ thu thập thông tin đăng nhập mà còn chuyển tiếp các thử thách CAPTCHA đến các tên miền sử dụng số cổng bất thường.

kfghjerrlknsm[.]line[.]pm:11962

Kẻ tấn công cũng thêm mã để ghi lại địa chỉ IP của nạn nhân bằng cách sử dụng HTTPBin, một dịch vụ API miễn phí. Điều này cho phép chúng thu thập thêm thông tin về nạn nhân và môi trường của họ.

Cập Nhật JavaScript để Né Tránh Cảnh Báo

Trong các phiên bản sau này, BlueDelta đã cập nhật mã JavaScript để vô hiệu hóa trang cảnh báo trình duyệt của ngrok. Dòng mã sau đã được thêm vào để ngăn nạn nhân nhìn thấy các cảnh báo bảo mật khi kết nối qua dịch vụ proxy:

req.setRequestHeader(“ngrok-skip-browser-warning”, “1”);

Việc thay đổi này giúp các trang giả mạo trông hợp pháp hơn, giảm khả năng nạn nhân nhận thấy bất kỳ điều đáng ngờ nào. Đây là một kỹ thuật nâng cao để cải thiện hiệu quả của chiến dịch lừa đảo.

Cấu Trúc Hạ Tầng Đa Tầng Phức Tạp

Nhóm đe dọa đã xây dựng một hạ tầng đa tầng với tối đa sáu lớp riêng biệt giữa nạn nhân và máy chủ cuối cùng. Lớp đầu tiên sử dụng các dịch vụ rút gọn liên kết như TinyURL và Linkcuts. Lớp thứ hai lưu trữ các trang thu thập thông tin đăng nhập trên Mocky.

Lớp thứ ba liên quan đến các tên miền ngrok tunneling kết nối đến các máy chủ chuyên dụng đặt tại Pháp và Canada. Cấu trúc phức tạp này đã khiến các đội ngũ bảo mật gặp khó khăn trong việc theo dõi kẻ tấn công và ngăn chặn hoạt động của chúng.

Các nhà nghiên cứu của Recorded Future đã ghi nhận hơn 42 chuỗi thu thập thông tin đăng nhập khác nhau trong suốt giai đoạn chiến dịch. Con số này cho thấy quy mô và tính bền bỉ của mối đe dọa mạng này. Sự phức tạp của hạ tầng cũng là một yếu tố khiến việc phát hiện và phản ứng trở nên khó khăn hơn.

Chỉ Số Thỏa Hiệp (IOCs)

Dưới đây là một số Chỉ số Thỏa hiệp (IOCs) liên quan đến chiến dịch lừa đảo này, giúp các tổ chức tăng cường khả năng phát hiện và phòng ngừa tấn công thu thập thông tin đăng nhập:

• Tên miền liên quan đến thu thập thông tin đăng nhập và C2:
  • kfghjerrlknsm[.]line[.]pm
• Dịch vụ web miễn phí bị lạm dụng:
  • Mocky
  • DNS EXIT
• Nền tảng Proxy Tunneling:
  • ngrok
  • Serveo
• Dịch vụ rút gọn liên kết:
  • TinyURL
  • Linkcuts

Các tổ chức nên xem xét chặn truy cập đến các tên miền và dịch vụ liên quan này nếu không có mục đích kinh doanh hợp pháp. Ngoài ra, việc triển khai các giải pháp an ninh mạng tiên tiến có thể giúp phát hiện các hành vi bất thường liên quan đến các kỹ thuật proxy tunneling và hạ tầng đa tầng.

Lời Khuyên Bảo Mật

Để bảo vệ người dùng khỏi các cuộc tấn công thu thập thông tin đăng nhập tinh vi như thế này, cần áp dụng các biện pháp bảo mật nhiều lớp:

• Đào tạo người dùng: Nâng cao nhận thức về các dấu hiệu của chiến dịch lừa đảo, bao gồm kiểm tra URL cẩn thận, nghi ngờ các liên kết trong email không mong muốn, và nhận biết các trang đăng nhập giả mạo.
• Xác thực đa yếu tố (MFA): Bắt buộc sử dụng MFA cho tất cả các tài khoản quan trọng. Ngay cả khi mật khẩu bị đánh cắp, MFA vẫn cung cấp một lớp bảo vệ bổ sung.
• Cập nhật hệ thống: Đảm bảo tất cả các hệ thống, ứng dụng và phần mềm bảo mật được cập nhật với các bản vá mới nhất để giảm thiểu các lỗ hổng tiềm ẩn.
• Giải pháp bảo mật email: Triển khai các giải pháp bảo mật email tiên tiến có khả năng phát hiện và chặn các email lừa đảo, cũng như các tệp đính kèm độc hại. Công cụ sandbox có thể hữu ích trong việc phân tích các liên kết và tệp đính kèm đáng ngờ.
• Giám sát mạng: Theo dõi lưu lượng mạng để phát hiện các kết nối bất thường đến các tên miền hoặc địa chỉ IP không xác định, đặc biệt là các kết nối liên quan đến các dịch vụ proxy.
• Sử dụng trình duyệt an toàn: Khuyến khích người dùng sử dụng các trình duyệt có tính năng bảo mật nâng cao và cảnh báo về các trang web độc hại.

Việc tuân thủ các thực hành tốt nhất về an ninh mạng là chìa khóa để chống lại các mối đe dọa mạng dai dẳng và thích ứng liên tục của các nhóm tấn công tinh vi. Đặc biệt, việc cảnh giác trước các liên kết đáng ngờ và kiểm tra kỹ thông tin trước khi nhập là rất quan trọng để tránh trở thành nạn nhân của các cuộc tấn công thu thập thông tin đăng nhập.