Các tác nhân đe dọa liên kết với Nga đã sử dụng cả PysOps và giáo mác nhằm mục tiêu vào người dùng trong vài tháng vào cuối năm 2023 trong một chiến dịch đa làn nhằm mục đích truyền bá thông tin sai lệch ở Ukraine và đánh cắp thông tin đăng nhập Microsoft 365 trên khắp châu Âu.
Các nhà nghiên cứu từ ESET đã phát hiện ra rằng hoạt động này – được đặt tên là Chiến dịch Texonto – diễn ra theo hai đợt riêng biệt, đợt đầu tiên vào tháng 2023-tháng 2023 năm XNUMX và đợt thứ hai vào tháng XNUMX-tháng XNUMX năm XNUMX. Họ tiết lộ rằng chiến dịch này đã sử dụng nhiều chiến thuật pysop và thư rác làm phương thức phân phối chính. trong một bài đăng blog xuất bản ngày 22 tháng XNUMX.
Theo trình tự thời gian, chiến dịch đầu tiên là một cuộc tấn công lừa đảo nhắm mục tiêu vào một công ty quốc phòng Ukraine vào tháng 2023 năm 2023 và một cơ quan EU vào tháng XNUMX năm XNUMX. Chiến dịch thứ hai là chiến dịch thông tin sai lệch tập trung chủ yếu vào các mục tiêu Ukraine sử dụng các chủ đề liên quan đến gián đoạn hệ thống sưởi, tình trạng thiếu thuốc và các nhà nghiên cứu cho biết tình trạng thiếu lương thực – “chủ đề điển hình của chiến dịch liên quan đến tuyên truyền của Nga”.
Mặc dù có mục tiêu khác nhau nhưng cả hai đều sử dụng cơ sở hạ tầng mạng giống nhau, đó là cách ESET liên kết cả hai. Sau đó, trong một tình tiết bất ngờ, một URL liên quan đến Chiến dịch Texonto đã gửi thư rác hiệu thuốc điển hình của Canada trong một chiến dịch riêng biệt diễn ra vào tháng 1.
Chiến tranh hỗn hợp Nga-Ukraine
Các chiến dịch đe dọa đã được sử dụng bởi các tác nhân đe dọa liên kết với Nga như Sâu cát và Gamaredon in một cuộc chiến tranh mạng với Ukraine đó là chạy đồng thời với hoạt động mặt đất kéo dài hai năm, theo ESET. Đặc biệt là giun cát cần gạt nước đã qua sử dụng đến phá hoại cơ sở hạ tầng CNTT của Ukraine đầu cuộc chiến, trong khi Gamaredon gần đây đã tăng cường các hoạt động gián điệp mạng.
Các nhà nghiên cứu viết trong bài đăng: “Chiến dịch Texonto cho thấy một cách sử dụng công nghệ khác nhằm cố gắng gây ảnh hưởng đến chiến tranh”, mặc dù họ không quy kết hoạt động này cho một tác nhân cụ thể. “Chúng tôi đã tìm thấy một số trang đăng nhập Microsoft giả mạo điển hình nhưng quan trọng nhất là có hai làn sóng pysop qua email có thể nhằm mục đích gây ảnh hưởng đến công dân Ukraine và khiến họ tin rằng Nga sẽ thắng.”
Chiến dịch Texonto cũng cho thấy những sai lệch đáng chú ý khác so với hoạt động độc hại điển hình, Matthieu Faou, nhà nghiên cứu ESET, người đứng đầu cuộc điều tra, lưu ý trong một email gửi tới Dark Reading.
Ông nhận xét: “Điều thú vị trong trường hợp Chiến dịch Texonto là cùng một tác nhân đe dọa vừa tham gia vào các chiến dịch đánh lạc hướng thông tin sai lệch vừa tham gia vào các chiến dịch lừa đảo trực tuyến, trong khi hầu hết các tác nhân đe dọa đều thực hiện cách này hoặc cách khác”. “Như vậy, rõ ràng đây là một âm mưu được lên kế hoạch chứ không chỉ là ai đó đăng thông tin sai lệch trên Internet.”
Các nhà nghiên cứu lưu ý rằng chiến dịch này cũng cho thấy sự chuyển hướng khỏi việc sử dụng các kênh phổ biến như Telegram hoặc các trang web giả mạo để truyền tải các thông điệp độc hại.
Hai làn sóng riêng biệt
Dấu hiệu đầu tiên của hoạt động này xuất hiện vào tháng 10 khi các nhân viên làm việc tại một công ty quốc phòng lớn của Ukraine nhận được một khoản tiền. email lừa đảo được cho là từ bộ phận CNTT. Thông báo cảnh báo rằng hộp thư của họ có thể bị xóa và để đăng nhập, họ phải nhấp vào liên kết tới phiên bản Web của hộp thư và đăng nhập bằng thông tin xác thực của họ.
Thay vào đó, liên kết này dẫn đến một trang lừa đảo mà các nhà nghiên cứu ESET phỏng đoán từ một miền khác thuộc hoạt động được gửi tới VirusTotal rằng đó là trang đăng nhập giả mạo của Microsoft để đánh cắp thông tin đăng nhập Microsoft 365, mặc dù họ không thể truy xuất chính trang lừa đảo đó.
Làn sóng tiếp theo của chiến dịch là hoạt động pysops đầu tiên, đã gửi làm mất thông tin email có tệp đính kèm PDF tới ít nhất vài trăm người làm việc cho chính phủ Ukraina và các công ty năng lượng, cũng như các cá nhân công dân.
Tuy nhiên, trái ngược với chiến dịch lừa đảo được mô tả trước đây, mục tiêu của những email này dường như hoàn toàn là thông tin sai lệch nhằm gieo rắc nghi ngờ trong tâm trí người Ukraine, thay vì phát tán các liên kết độc hại.
Các email trong chiến dịch đã thông báo cho người nhận về tình trạng thiếu lương thực, sưởi ấm và thuốc men tiềm ẩn, trong đó có một email còn đề nghị họ ăn “risotto chim bồ câu” và thậm chí cung cấp ảnh về một con chim bồ câu sống và một con chim bồ câu nấu chín “cho thấy những tài liệu đó được tạo ra có chủ đích”. để chọc tức người đọc,” các nhà nghiên cứu lưu ý.
Họ viết: “Nhìn chung, các thông điệp đều phù hợp với các chủ đề tuyên truyền chung của Nga”. “Họ đang cố làm cho người Ukraine tin rằng họ sẽ không có ma túy, thực phẩm và sưởi ấm vì cuộc chiến Nga-Ukraine.”
Giai đoạn thứ hai của sóng pysop xảy ra vào tháng 12 và mở rộng sang các nước châu Âu khác, với một loạt mục tiêu ngẫu nhiên gồm vài trăm mục tiêu, từ chính phủ Ukraina đến một nhà sản xuất giày của Ý, nhưng vẫn được viết bằng tiếng Ukraina. Các nhà nghiên cứu đã phát hiện ra hai mẫu email khác nhau trong chiến dịch gửi lời chúc mừng kỳ nghỉ mỉa mai tới người Ukraina nhằm mục đích chê bai và làm họ nản lòng.
Tên miền độc hại và chiến thuật phòng thủ
Các nhà nghiên cứu chủ yếu theo dõi các tên miền để theo dõi tội phạm mạng liên quan đến Chiến dịch Texonto, dẫn chúng đến một số con đường thú vị. Một là chiến dịch thư rác dược phẩm điển hình ở Canada dường như không liên quan, sử dụng máy chủ email do những kẻ tấn công vận hành, “một loại hình kinh doanh bất hợp pháp [mà] rất phổ biến trong cộng đồng tội phạm mạng ở Nga,” họ nói.
Các tên miền khác liên quan đến chiến dịch phản ánh nhiều sự kiện thời sự gần đây hơn như cái chết của Alexei Navalny, lãnh đạo phe đối lập nổi tiếng ở Nga, người đã chết trong tù ngày 16/XNUMX. Sự tồn tại của các miền đó — bao gồm cả navyny-votes[.]net, navyny-votesmart[.]net, và navyny-voting[.]net — “có nghĩa là Chiến dịch Texonto có thể bao gồm các hoạt động lừa đảo trực tuyến hoặc thông tin nhắm vào những người bất đồng chính kiến ở Nga,” các nhà nghiên cứu đã viết.
ESET bao gồm một loạt các chỉ số xâm phạm (IOC), bao gồm tên miền, địa chỉ email và kỹ thuật MITER ATT&CK trong báo cáo của họ. Các nhà nghiên cứu cũng khuyến nghị rằng các tổ chức nên tạo điều kiện mạnh mẽ xác thực hai yếu tố — chẳng hạn như ứng dụng xác thực điện thoại hoặc khóa vật lý — để chống lại các cuộc tấn công lừa đảo trực tuyến nhắm vào Office 365, Faou nói.
Ông nói thêm về việc bảo vệ chống lại những nỗ lực truyền bá thông tin sai lệch trực tuyến của các tác nhân độc hại, “cách bảo vệ tốt nhất là sử dụng tư duy phản biện của chúng ta và không tin tưởng bất kỳ thông tin nào trên Internet”.
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://www.darkreading.com/remote-workforce/russian-cyberattackers-launch-multi-phase-psyops-campaign
- : có
- :là
- :không phải
- $ LÊN
- 16
- 2023
- 22
- 7
- a
- Có khả năng
- Theo
- ngang qua
- hoạt động
- diễn viên
- địa chỉ
- Thêm
- chống lại
- cơ quan
- nhằm vào
- Mục tiêu
- sắp xếp
- Ngoài ra
- an
- và
- Một
- bất kì
- ứng dụng
- Xuất hiện
- LÀ
- Mảng
- AS
- liên kết
- At
- tấn công
- Các cuộc tấn công
- Nỗ lực
- xa
- BE
- bởi vì
- được
- Tin
- thuộc
- BEST
- Một chút
- Blog
- cả hai
- kinh doanh
- nhưng
- by
- đến
- Chiến dịch
- Chiến dịch
- Canada
- trường hợp
- Phân loại
- kênh
- Công dân
- trong sáng
- Nhấp chuột
- Chung
- cộng đồng
- Các công ty
- công ty
- thỏa hiệp
- nấu chín
- nước
- tạo ra
- Credentials
- quan trọng
- Current
- không gian mạng
- tội phạm mạng
- tội phạm mạng
- tối
- Đọc tối
- Tử vong
- Tháng mười hai
- Bảo vệ
- Phòng thủ
- chứng minh
- bộ
- mô tả
- ĐÃ LÀM
- chết
- khác nhau
- phát hiện
- làm mất thông tin
- chê bai
- khác biệt
- phân phối
- khác nhau
- do
- tài liệu
- miền
- TÊN MIỀN
- lĩnh vực
- nghi ngờ
- xuống
- thuốc
- Thuốc
- được mệnh danh là
- Đầu
- ăn
- nỗ lực
- việc làm
- nhân viên
- cho phép
- cuối
- năng lượng
- tham gia
- gián điệp
- EU
- Châu Âu
- Châu Âu
- Các nước châu Âu
- Ngay cả
- sự kiện
- sự tồn tại
- mở rộng
- giả mạo
- xa
- Tháng Hai
- vài
- Tên
- tập trung
- thực phẩm
- Trong
- tìm thấy
- từ
- mục tiêu
- đi
- Chính phủ
- Lời chào hỏi
- Mặt đất
- có
- Có
- he
- Ngày lễ
- Độ đáng tin của
- Tuy nhiên
- HTTPS
- một trăm
- Hỗn hợp
- Bất hợp pháp
- quan trọng
- in
- bao gồm
- bao gồm
- Bao gồm
- Các chỉ số
- hệ thống riêng biệt,
- ảnh hưởng
- thông tin
- thông báo
- Cơ sở hạ tầng
- thay vì
- thú vị
- Internet
- điều tra
- tham gia
- IT
- người Ý
- ITS
- chính nó
- Tháng một
- chỉ
- Giữ
- Key
- phóng
- dẫn
- lãnh đạo
- Dẫn
- ít nhất
- Led
- LINK
- liên kết
- liên kết
- sống
- đăng nhập
- đăng nhập
- Chủ yếu
- phần lớn
- chính
- làm cho
- độc hại
- nhà chế tạo
- Có thể..
- có nghĩa
- tin nhắn
- tin nhắn
- phương pháp
- microsoft
- tâm
- Tư duy
- Thông tin sai
- tháng
- chi tiết
- hầu hết
- di chuyển
- phải
- tên
- mạng
- tiếp theo
- Nổi bật
- đáng chú ý
- lưu ý
- Chú ý
- Tháng mười một
- Quan sát
- xảy ra
- Tháng Mười
- of
- Office
- on
- ONE
- Trực tuyến
- vận hành
- hoạt động
- Hoạt động
- phe đối lập
- or
- gọi món
- tổ chức
- Nền tảng khác
- vfoXNUMXfipXNUMXhfpiXNUMXufhpiXNUMXuf
- kết thúc
- tổng thể
- trang
- trang
- đường dẫn
- người
- giai đoạn
- Lừa đảo
- chiến dịch lừa đảo
- điện thoại
- Hình ảnh
- vật lý
- kế hoạch
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- âm mưu
- Phổ biến
- Bài đăng
- tiềm năng
- trước đây
- nhà tù
- có lẽ
- tuyên truyền
- bảo vệ
- cung cấp
- hoàn toàn
- ngẫu nhiên
- phạm vi
- khác nhau,
- hơn
- độc giả
- Reading
- nhận
- gần đây
- gần đây
- người nhận
- giới thiệu
- phản ánh
- liên quan
- Đã loại bỏ
- báo cáo
- nhà nghiên cứu
- nhà nghiên cứu
- Tiết lộ
- Nga
- Chiến tranh Nga-Ukraine
- người Nga
- s
- Nói
- tương tự
- nói
- Thứ hai
- có vẻ
- gửi
- gởi
- riêng biệt
- máy chủ
- một số
- thiếu hụt
- Chương trình
- đăng ký
- tương tự
- So
- cho đến nay
- một số
- Một người nào đó
- gieo
- thư rác
- riêng
- Được tài trợ
- lan tràn
- lan rộng
- Vẫn còn
- mạnh mẽ
- trình
- như vậy
- đề nghị
- chiến thuật
- Mục tiêu
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- kỹ thuật
- Công nghệ
- Telegram
- mẫu
- hơn
- việc này
- Sản phẩm
- cung cấp their dịch
- Them
- chủ đề
- sau đó
- Đó
- Kia là
- họ
- những
- Tuy nhiên?
- mối đe dọa
- diễn viên đe dọa
- đến
- Chủ đề
- NIỀM TIN
- thử
- cố gắng
- xoắn
- hai
- điển hình
- Ukraina
- Tiếng Ukraina
- Ukraine
- URL
- sử dụng
- đã sử dụng
- Người sử dụng
- sử dụng
- phiên bản
- rất
- thông qua
- chiến tranh
- cảnh báo
- là
- Sóng
- sóng biển
- we
- web
- trang web
- TỐT
- nổi tiếng
- là
- wasn
- Điều gì
- Là gì
- khi nào
- cái nào
- trong khi
- CHÚNG TÔI LÀ
- sẽ
- giành chiến thắng
- với
- ở trong
- Won
- đang làm việc
- viết
- đã viết
- nhưng
- zephyrnet