Trong một phân tích kỹ thuật chi tiết về phần mềm độc hại Authentic Antics vào ngày ngày 6/5 năm nay, NCSC tiết lộ rằng, nó đang đánh cắp thông tin đăng nhập và mã thông báo OAuth 2.0, cho phép truy cập vào tài khoản email của các mục tiêu.
 |
Phần mềm độc hại này được phát hiện sử dụng vào năm 2023, chạy bên trong quy trình Outlook và tạo ra nhiều lời nhắc đăng nhập Microsoft nhằm đánh cắp dữ liệu đăng nhập cũng như mã xác thực của nạn nhân.
NCSC cho biết, vì các ứng dụng Microsoft 365 có thể cấu hình cho từng đối tượng thuê, nên dữ liệu nhạy cảm có thể cũng hoạt động trên các nền tảng quản lý thư điện tử hay lưu trữ dữ liệu đám mây như Exchange Online, SharePoint và OneDrive.
Authentic Antics đánh cắp dữ liệu bằng cách sử dụng tài khoản Outlook của nạn nhân để gửi đến địa chỉ email do kẻ tấn công kiểm soát và ẩn hoạt động này bằng cách tắt tùy chọn "lưu vào thư đã gửi".
Authentic Antics bao gồm nhiều thành phần như một phần mềm độc hại (dropper), một trình đánh cắp thông tin và một số tập lệnh PowerShell.
Cơ quan an ninh mạng Anh cho biết, Authentic Antics có mức độ tinh vi cao, cho phép nó truy cập vào tài khoản email của nạn nhân trong thời gian dài mà không bị phát hiện.
Điều này có thể xảy ra vì giao tiếp mạng của phần mềm độc hại chỉ thông qua các dịch vụ hợp pháp. Hơn nữa, vì nó tự động gửi email của nạn nhân đến kẻ tấn công, nên nó không yêu cầu máy chủ chỉ huy và kiểm soát (C2) để nhận tác vụ.
"Sự hiện diện của Authentic Antics trên ổ đĩa bị hạn chế, dữ liệu được lưu trữ trong các vị trí đăng ký cụ thể của Outlook", các chuyên gia NCSC cho biết trong phân tích kỹ thuật.
Quy trách nhiệm và các biện pháp trừng phạt
NCSC đã không đưa ra bất kỳ quy trách nhiệm nào cho Authentic Antics, nhưng cơ quan này mới đây thông báo rằng, họ đã tìm thấy bằng chứng cho thấy mối liên hệ giữa phần mềm độc hại này với nhóm tin tặc APT28, còn được gọi với các tên gọi khác như Fancy Bear, Sednit, Sofacy, Pawn Storm, STRONTIUM, Tsar Team và Forest Blizzard.
“Ngày 18/7 vừa qua, Chính phủ Anh đã vạch trần vụ việc các tác nhân đến từ Nga sử dụng phần mềm độc hại chưa từng được biết đến để do thám tài khoản email của nạn nhân, một động thái nhằm bảo vệ an toàn cho Vương quốc Anh và các đồng minh”, NCSC của Anh cho biết.
Trung tâm An ninh Mạng Quốc gia Anh lần đầu tiên tiết lộ rằng, nhóm tin tặc APT 28 chịu trách nhiệm triển khai một phần mềm độc hại tinh vi có tên AUTHENTIC ANTICS trong các hoạt động của mình.
Việc quy kết này cũng dẫn đến việc Chính phủ Anh trừng phạt ba đơn vị GRU (26165, 29155 và 74455) và 18 cá nhân đến từ Nga có liên quan đến các chiến dịch này và các chiến dịch liên quan khác.
Các quan chức Anh lên án các tin tặc của GRU vì đã thực hiện các hoạt động hỗn hợp nhằm gây bất ổn tại châu Âu và gây nguy hiểm cho công dân Anh, đồng thời cảnh báo việc triển khai Authentic Antics cho thấy sự tinh vi ngày càng tăng của cơ quan tình báo Nga.
Đồng thời, họ nhấn mạnh cam kết của NCSC trong việc vạch trần các hoạt động mạng này và trừng phạt các bên chịu trách nhiệm. Được biết, Authentic Antics đã được sử dụng trong nhiều cuộc tấn công tại khu vực châu Âu.
Hà Linh
Bình luận