Phần mềm độc hại mới của Nga đang hoạt động

## Phần mềm độc hại mới của Nga đang hoạt động

Thế giới ngầm mạng chứng kiến sự xuất hiện của một “người chơi” mới đầy nguy hiểm: phần mềm độc hại LostKeys. Theo Google, nhóm tin tặc Coldriver, được cho là do chính phủ Nga hậu thuẫn, đã sử dụng LostKeys từ đầu năm nay để tấn công các mục tiêu ở phương Tây, bao gồm chính phủ, nhà báo, think tank và các tổ chức phi chính phủ.

Coldriver không phải là cái tên xa lạ. Vào tháng 12 năm ngoái, Vương quốc Anh và các đồng minh thuộc liên minh Five Eyes đã cáo buộc nhóm này có liên kết chặt chẽ với Dịch vụ An ninh Liên bang Nga (FSB), cơ quan tình báo đối nội và an ninh quốc gia của Nga.

Google hé lộ LostKeys: Phần mềm độc hại liên kết với Nga

Nhóm Tình báo Mối đe dọa của Google (GTIG) phát hiện LostKeys vào tháng 1 năm nay. Coldriver sử dụng kỹ thuật “click-fix” – một hình thức tấn công mạng dựa trên kỹ thuật xã hội tinh vi, lừa người dùng thực thi các tập lệnh PowerShell độc hại. Những tập lệnh này sau đó tải xuống và thực thi các mã độc khác, trong đó có LostKeys – một phần mềm độc hại được viết bằng Visual Basic Script (VBS).

LostKeys hoạt động như một “máy hút bụi” dữ liệu kỹ thuật số, trích xuất các tệp và thư mục cụ thể, thu thập thông tin hệ thống và gửi dữ liệu về cho kẻ tấn công. Mục tiêu chính của Coldriver là đánh cắp thông tin đăng nhập email, danh bạ, và các tài liệu quan trọng. Tuy nhiên, LostKeys dường như là một công cụ chuyên dụng hơn, được sử dụng trong các trường hợp mục tiêu được lựa chọn kỹ lưỡng, khác với các phần mềm độc hại khác mà nhóm này đã sử dụng trước đây, ví dụ như Spica.

Không chỉ Coldriver:

Đáng chú ý, Coldriver không phải là nhóm duy nhất sử dụng kỹ thuật “click-fix”. Nhiều nhóm tin tặc do nhà nước hậu thuẫn khác, bao gồm Kimsuky (Triều Tiên), Muddywater (Iran), APT28 và UNK_Remotergue (Nga), cũng áp dụng phương pháp này trong các chiến dịch gián điệp của họ.

Hoạt động từ năm 2017 và đang gia tăng:

Coldriver, còn được biết đến với các tên khác như Star Blizzard và Callisto Group, đã hoạt động từ năm 2017. Nhóm này sử dụng kỹ năng xã hội và tình báo nguồn mở để lừa các mục tiêu. Các cuộc tấn công của họ ngày càng gia tăng, đặc biệt là sau cuộc xâm lược Ukraine của Nga, mở rộng sang các cơ sở quốc phòng, cơ sở hạ tầng năng lượng của Hoa Kỳ.

Hoa Kỳ ra lệnh trừng phạt và treo thưởng:

Bộ Ngoại giao Hoa Kỳ đã áp đặt lệnh trừng phạt đối với một số thành viên của Coldriver, trong đó có một sĩ quan FSB. Hiện tại, chính phủ Hoa Kỳ đang treo thưởng 10.000.000 VND (mười triệu đô la Mỹ) cho bất kỳ thông tin nào giúp xác định danh tính các thành viên khác của nhóm. Điều này cho thấy mức độ nghiêm trọng của mối đe dọa mà Coldriver gây ra.

#PhầnMềmĐộcHại #MốiĐeDọaMới #NguyCơAnNinh #CảnhBáoMạng #ChiếnTranhMạng #RủiRoCôngNghệ #BảoMậtThôngTin #NguyHiểmMới #ĐềPhòngNgay #CôngNghệĐen #LostKeys #Coldriver #Nga #FSB #AnNinhMạng #TinTặc

Hãy viết bài báo dài đầy đủ chuyên nghiệp hay bằng tiếng VIệt kèm hashtag Phần mềm độc hại mới của Nga đang hoạt động

Thế giới bóng tối của gián điệp mạng có một người chơi mới trên sân: một phần mềm độc hại lén lút có tên là Lost Lostkeys. Theo Google, một đội ngũ độc hại do nhà nước Nga hậu thuẫn được gọi là Coldriver đã sử dụng LostKeys kể từ đầu năm để rình mò các chính phủ phương Tây, các nhà báo, nghĩ rằng xe tăng và các tổ chức phi chính phủ.

Coldriver không chính xác là một đứa trẻ mới trong khối. Trở lại vào tháng 12, Vương quốc Anh và các đồng minh tình báo của Five Five Eyes đã chỉ tay vào họ. Nhóm hack được liên kết trực tiếp với Dịch vụ An ninh Liên bang (FSB) của Nga, về cơ bản là phản gián và bảo mật nội bộ của họ.

Google tiết lộ LostKeys, một phần mềm độc hại liên kết với Nga

Nhóm tình báo mối đe dọa của Google (GTIG) lần đầu tiên phát hiện ra LostKeys vào tháng 1. Có vẻ như Coldriver đã triển khai nó trong các cuộc tấn công rất mục tiêu của Click Click. Hãy nghĩ rằng đây là những công việc kỹ thuật số, nơi họ lừa mọi người điều hành các kịch bản PowerShell tinh ranh. Về cơ bản, các cuộc tấn công clickfix dựa trên kỹ thuật xã hội cổ điển.

Khi các tập lệnh đó đang chạy, họ sẽ mở đường cho sự khó chịu hơn nữa của PowerShell được tải xuống và thực thi. Mục tiêu chính của họ là cài đặt LostKeys, mà Google đã xác định là phần mềm độc hại dữ liệu Visual Basic Script (VBS). Theo báo cáo của GTIG, LostKeys giống như một máy hút bụi kỹ thuật số kỹ thuật số, trích xuất các tệp và thư mục cụ thể. Nó cũng gửi thông tin hệ thống và chạy các quy trình trở lại cho kẻ tấn công.

MO thông thường của Coldriver liên quan đến việc đánh cắp chi tiết đăng nhập vào các email và danh bạ. Tuy nhiên, họ cũng đã được biết là triển khai một phần mềm độc hại khác có tên là Spica để lấy tài liệu và tệp. LostKeys dường như đang phục vụ một mục đích tương tự, nhưng nó chỉ được đưa ra cho những ngườitrường hợp chọn lọc cao. ” Điều này cho thấy rằng đó là một công cụ chuyên dụng hơn trong bộ công cụ gián điệp của Coldriver.

Thật thú vị, Coldriver không phải là nhóm duy nhất do nhà nước tài trợ trong các cuộc tấn công clickfix này. Thế giới ngầm mạng rõ ràng là một fan hâm mộ của chiến thuật này, với các nhóm liên kết với Triều Tiên (Kimsuky), Iran (Muddywater) và thậm chí các diễn viên người Nga khác (APT28 và UNK_Remotergue) đều sử dụng các phương pháp tương tự trong các chiến dịch gián điệp gần đây của họ.

Coldriver hoạt động từ năm 2017

Coldriver cũng được một vài bí danh khác biết đến, như Star Blizzard và Callisto Group. Nó đã mài giũa kỹ thuật xã hội và kỹ năng tình báo nguồn mở của họ để lừa các mục tiêu kể từ ít nhất là năm 2017. Các mục tiêu của họ đã dao động từ các tổ chức quốc phòng và chính phủ đến các tổ chức phi chính phủ và chính trị gia. Các cuộc tấn công của nhóm đang gia tăng, đặc biệt là sau cuộc xâm lược Ukraine của Nga, thậm chí mở rộng sang các địa điểm công nghiệp quốc phòng và các cơ sở của Bộ Năng lượng Hoa Kỳ.

Bộ Ngoại giao Hoa Kỳ thậm chí đã tát các lệnh trừng phạt đối với một vài thành viên Coldriver (một báo cáo là một sĩ quan FSB). Hiện tại, chính quyền Hoa Kỳ đang cung cấp phần thưởng 10 triệu đô la cho bất kỳ lời khuyên nào có thể giúp theo dõi các thành viên khác. Điều này phản ánh mức độ nghiêm trọng mà Hoa Kỳ đang tham gia nhóm.

(tiêu đề viết lên đầu)
Phần mềm độc hại mới của Nga đang hoạt động

Thế giới bóng tối của gián điệp mạng có một người chơi mới trên sân: một phần mềm độc hại lén lút có tên là Lost Lostkeys. Theo Google, một đội ngũ độc hại do nhà nước Nga hậu thuẫn được gọi là Coldriver đã sử dụng LostKeys kể từ đầu năm để rình mò các chính phủ phương Tây, các nhà báo, nghĩ rằng xe tăng và các tổ chức phi chính phủ.

Coldriver không chính xác là một đứa trẻ mới trong khối. Trở lại vào tháng 12, Vương quốc Anh và các đồng minh tình báo của Five Five Eyes đã chỉ tay vào họ. Nhóm hack được liên kết trực tiếp với Dịch vụ An ninh Liên bang (FSB) của Nga, về cơ bản là phản gián và bảo mật nội bộ của họ.

Google tiết lộ LostKeys, một phần mềm độc hại liên kết với Nga

Nhóm tình báo mối đe dọa của Google (GTIG) lần đầu tiên phát hiện ra LostKeys vào tháng 1. Có vẻ như Coldriver đã triển khai nó trong các cuộc tấn công rất mục tiêu của Click Click. Hãy nghĩ rằng đây là những công việc kỹ thuật số, nơi họ lừa mọi người điều hành các kịch bản PowerShell tinh ranh. Về cơ bản, các cuộc tấn công clickfix dựa trên kỹ thuật xã hội cổ điển.

Khi các tập lệnh đó đang chạy, họ sẽ mở đường cho sự khó chịu hơn nữa của PowerShell được tải xuống và thực thi. Mục tiêu chính của họ là cài đặt LostKeys, mà Google đã xác định là phần mềm độc hại dữ liệu Visual Basic Script (VBS). Theo báo cáo của GTIG, LostKeys giống như một máy hút bụi kỹ thuật số kỹ thuật số, trích xuất các tệp và thư mục cụ thể. Nó cũng gửi thông tin hệ thống và chạy các quy trình trở lại cho kẻ tấn công.

MO thông thường của Coldriver liên quan đến việc đánh cắp chi tiết đăng nhập vào các email và danh bạ. Tuy nhiên, họ cũng đã được biết là triển khai một phần mềm độc hại khác có tên là Spica để lấy tài liệu và tệp. LostKeys dường như đang phục vụ một mục đích tương tự, nhưng nó chỉ được đưa ra cho những ngườitrường hợp chọn lọc cao. ” Điều này cho thấy rằng đó là một công cụ chuyên dụng hơn trong bộ công cụ gián điệp của Coldriver.

Thật thú vị, Coldriver không phải là nhóm duy nhất do nhà nước tài trợ trong các cuộc tấn công clickfix này. Thế giới ngầm mạng rõ ràng là một fan hâm mộ của chiến thuật này, với các nhóm liên kết với Triều Tiên (Kimsuky), Iran (Muddywater) và thậm chí các diễn viên người Nga khác (APT28 và UNK_Remotergue) đều sử dụng các phương pháp tương tự trong các chiến dịch gián điệp gần đây của họ.

Coldriver hoạt động từ năm 2017

Coldriver cũng được một vài bí danh khác biết đến, như Star Blizzard và Callisto Group. Nó đã mài giũa kỹ thuật xã hội và kỹ năng tình báo nguồn mở của họ để lừa các mục tiêu kể từ ít nhất là năm 2017. Các mục tiêu của họ đã dao động từ các tổ chức quốc phòng và chính phủ đến các tổ chức phi chính phủ và chính trị gia. Các cuộc tấn công của nhóm đang gia tăng, đặc biệt là sau cuộc xâm lược Ukraine của Nga, thậm chí mở rộng sang các địa điểm công nghiệp quốc phòng và các cơ sở của Bộ Năng lượng Hoa Kỳ.

Bộ Ngoại giao Hoa Kỳ thậm chí đã tát các lệnh trừng phạt đối với một vài thành viên Coldriver (một báo cáo là một sĩ quan FSB). Hiện tại, chính quyền Hoa Kỳ đang cung cấp phần thưởng 10 triệu đô la cho bất kỳ lời khuyên nào có thể giúp theo dõi các thành viên khác. Điều này phản ánh mức độ nghiêm trọng mà Hoa Kỳ đang tham gia nhóm.