Nhóm gián điệp mạng sử dụng trang web ngân hàng để tấn công Watering Hole

Một cuộc tấn công watering-hole bị phát hiện do một nhóm tình báo mạng thực hiện nhắm vào những cá nhân có liên quan đến các khu vực quân sự; nạn nhân bị chuyển hướng từ trang web của tổ chức ngân hàng lớn tới bộ khai thác lưu trữ tên miền liên quan tới quốc phòng.

Nhóm này được các nhà nghiên cứu bảo mật tại ESET gọi là Sednit, được biết trước đây đã thực hiện các cuộc tấn công dựa trên email, sử dụng kỹ thuật spear-phishing. Các email được gửi đến các nạn nhân có tập tin đính kèm tài liệu Microsoft Word độc hại và khai thác một lỗ hổng zero-day trong phần mềm nhằm phát tán một phần của phần mềm độc hại này.

Sednit tạo ra các cuộc tấn công có chủ đích

Quan sát gần đây của các nhà nghiên cứu bảo mật cho thấy nhóm này thêm một khung nội tuyến vào các trang web của một tổ chức tài chính lớn ở Ba Lan, được sử dụng để tải các bộ khai thác.

Một khung nội tuyến khác cũng hiện hữu dường như chỉ có chức năng thu thập số liệu thống kê các trường hợp chuyển hướng.

Trong một bài đăng blog mô tả các phương pháp mới được nhóm Sednit sử dụng, các nhà nghiên cứu ESET giải thích rằng iframe tải bộ khai thác từ “một trang web hợp pháp được miêu tả như “một nguồn tin có thẩm quyền chất lượng cao và độc quyền bình luận và phân tích các chủ đề liên quan đến quốc phòng và quân sự toàn cầu”, trang web này là defenceiq.us.

Bằng cách thực hiện một chuyển hướng từ trang web của ngân hàng tới một tên miền liên kết đến quốc phòng quân sự, nhóm tội phạm chuyển từ một cuộc tấn công có chủ đích sang một cuộc tấn công water-hole nhắm đến số lượng lớn các nạn nhân, ESET cho biết. Tuy nhiên, họ tin rằng điều này “có thể do sự kế hợp của hai chiến dịch đang diễn ra.”

Sedkit là tên gọi, Internet Explorer là trò chơi

Bộ công cụ khai thác được đặt tên Sedkit, theo tên của nhóm và không quá khác biệt những bộ khai thác thường được sử dụng, như Angler hoặc Nuclear. Nếu các phiên bản của các plug-in được cài đặt trong trình duyệt web có lỗ hổng, bộ công cụ này sẽ chuyển hướng tới một URL có chứa mã khai thác.

Các nhà nghiên cứu phát hiện ra rằng ba khai thác được sử dụng, tất cả đều nhắm mục tiêu vào Internet Explorer (phiên bản 8 và 11).

Theo các chuyên gia bảo mật, một trong những khai thác là lỗ hổng CVE-2014-1776 – một lỗ hổng use-after-free ảnh hưởng đến IE 6 đến 11 trong IE 11, không được tìm thấy trong bất kỳ bộ công cụ phổ biến nào.

Một phân tích về Sedkit dẫn đến kết luận rằng bộ khai thác vẫn đang được phát triển và hiện chỉ được dùng để thử nghiệm. “Không giống như hầu hết các bộ dụng cụ khai thác hiện thời, nó không sử dụng JavaScript obfuscation. Chúng tôi thậm chí còn tìm thấy phản hồi ​​trong các mã JavaScript liên quan đến chuỗi ROP của khai thác. Điều này khiến chúng ta tin rằng bộ này vẫn còn trong giai đoạn thử nghiệm”, các nhà nghiên cứu cho biết.

Các cuộc tấn công water-hole đã trở thành phương pháp ưa thích cho các hoạt động tình báo mạng, chủ yếu là do các gián điệp mạng có thể gây ảnh hưởng tới máy tính của nhiều cá nhân liên quan đến một ngành công nghiệp cụ thể và lấy thông tin từ tất cả chúng.

Softpedia