Đội ngũ Phản ứng Khẩn cấp Máy tính của Ukraine (CERT-UA) gần đây đã cảnh báo về một chiến dịch gián điệp mạng nhắm vào các cơ quan nhà nước trong nước. Nhóm tác nhân đe dọa, được xác định là UAC-0063 từ năm 2021, được cho là đứng sau cuộc tấn công sử dụng lời mời phishing để triển khai công cụ độc hại trên các hệ thống bị nhiễm. Các email, được gửi từ hòm thư đã bị xâm nhập trước đó, được giả mạo như đến từ Đại sứ quán Tajikistan tại Ukraine và đi kèm với một tài liệu Microsoft Word với một VBScript được mã hóa có tên là HATVIBE. Script này được sử dụng để rải thêm malware, như một keylogger (LOGPIE), một backdoor dựa trên Python (CHERRYSPY), và một công cụ để đưa lén các tệp tin cụ thể (STILLARCH hoặc DownEx). Đáng chú ý là DownEx đã được Bitdefender ghi nhận là đã được sử dụng trong các cuộc tấn công nhắm vào cụ thể các cơ quan chính phủ tại Kazakhstan và Afghanistan. Nguồn gốc của nhóm hacker vẫn chưa rõ, tuy nhiên, CERT-UA cho rằng nhóm đang nhắm vào các tổ chức từ Mông Cổ, Kazakhstan, Kyrgyzstan, Israel và Ấn Độ. Kể từ khi Microsoft vô hiệu hóa tính năng này theo mặc định trong các tệp Office tải từ web, một số tác nhân đe dọa đã bắt đầu thử nghiệm và điều chỉnh chuỗi tấn công của họ và cơ chế giao hàng payload để bao gồm các loại tệp không phổ biến (CHM, ISO, LNK, VHD, XLL và WSF) và các kỹ thuật như đóng gói HTML. Proofpoint đã quan sát thấy nhiều người môi giới truy cập ban đầu (IABs) sử dụng tệp PDF và OneNote kể từ tháng 12 năm 2022, cho thấy một tốc độ thay đổi nhanh chóng của nhiều tác nhân đe dọa. Điều này gợi ý rằng họ có khả năng phát triển và thực hiện các kỹ thuật mới một cách nhanh chóng và không còn dựa vào một hoặc vài kỹ thuật.
Source: Hackernews
Để giảm thiểu các mối đe dọa tiềm năng này, quan trọng là thực hiện các biện pháp bảo mật mạng bổ sung với sự trợ giúp của đối tác đáng tin cậy như INFRA www.infrascan.net hoặc bạn có thể tự kiểm tra bằng cách sử dụng check.website.