Hoa Kỳ thu giữ các miền được APT29 sử dụng trong các cuộc tấn công lừa đảo USAID gần đây

Bộ Tư pháp Hoa Kỳ đã thu giữ hai tên miền Internet được sử dụng trong các cuộc tấn công lừa đảo gần đây mạo danh Cơ quan Phát triển Quốc tế Hoa Kỳ (USAID) để phát tán phần mềm độc hại và giành quyền truy cập vào các mạng nội bộ.

Hai tên miền bị DOJ thu giữ là theyardservice[.]com và worldhomeoutlet[.]com và được sử dụng để nhận dữ liệu lấy từ các nạn nhân của các cuộc tấn công lừa đảo có chủ đích và gửi thêm lệnh để phần mềm độc hại thực thi trên các máy bị nhiễm.

Microsoft lần đầu tiên tiết lộ các cuộc tấn công này vào thứ Năm tuần trước và tuyên bố rằng chúng được tiến hành bởi một nhóm hack có liên quan đến nhà nước Nga được gọi là NOBELIUM (APT29, Cozy Bear và The Dukes). Nhóm này được cho là có liên kết với Cơ quan Tình báo Đối ngoại Nga (SVR).

Để tiến hành các cuộc tấn công lừa đảo, NOBELIUM đã xâm nhập một tài khoản Liên hệ và Liên hệ cho USAID sử dụng cho các chiến dịch email. Sử dụng tài khoản này, những kẻ đe dọa đã mạo danh USAID trong các email lừa đảo  được gửi đến khoảng 3.000 tài khoản email tại hơn 150 tổ chức khác nhau, bao gồm các cơ quan chính phủ và tổ chức nhân quyền.

Những người nhận được nhắm mục tiêu nhận được những email này và nhấp vào các liên kết kèm theo sẽ được nhắc tải xuống các tệp đính kèm HTML sẽ cài đặt bốn phần mềm độc hại mới do các tác nhân đe dọa tạo ra.

Phần mềm độc hại được cài đặt cuối cùng sẽ dẫn đến việc cài đặt phần mềm truy cập từ xa, chẳng hạn như đèn hiệu Cobalt Strike cung cấp toàn quyền truy cập vào máy tính của nạn nhân và cuối cùng là mạng.

"Khi người nhận nhấp vào siêu liên kết của email lừa đảo trực tuyến, máy tính nạn nhân đã được chuyển hướng tải xuống phần mềm độc hại từ miền phụ của theyardservice[.]com. Sử dụng chỗ đứng ban đầu đó, các tác nhân sau đó tải xuống công cụ Cobalt Strike để duy trì sự hiện diện liên tục và có thể triển khai các công cụ hoặc phần mềm độc hại bổ sung vào mạng của nạn nhân " , Bộ Tư pháp cho biết.

"Ví dụ về công cụ Cobalt Strike của các diễn viên đã nhận được liên lạc C2 thông qua các miền phụ khác của theyardservice[.]com, cũng như miền worldhomeoutlet[.]com đó là hai miền mà Bộ đã thu giữ theo lệnh thu giữ của tòa án. "

Trong các chỉ số về khả năng xâm phạm (IOC) cho chiến dịch do Microsoft chia sẻ này, có tổng cộng 34 miền được sử dụng ở một số khả năng trong các cuộc tấn công, trong đó bao gồm hai miền bị FBI thu giữ.

Hoạt động này được thực hiện bởi Văn phòng FBI Washington Field Office và có thể cho phép cơ quan thực thi pháp luật hiểu rõ hơn về kẻ đã vi phạm trong cuộc tấn công này và thông báo cho nạn nhân