Kể từ năm 2021, các nhóm đe dọa liên kết với nhà nước khác nhau đã nhắm mục tiêu vào các nhà báo để lấy dữ liệu và thông tin đăng nhập, đồng thời theo dõi chúng.
Các cuộc tấn công lừa đảo có mục tiêu được truy tìm bởi nhiều tác nhân đe dọa, mỗi bên đều tập trung độc lập vào việc đánh cắp thông tin xác thực và dữ liệu nhạy cảm và theo dõi vị trí địa lý của các nhà báo.
Trong một báo cáo hôm thứ Năm của Proofpoint, các nhà nghiên cứu phác thảo những nỗ lực cá nhân của các nhóm đe dọa dai dẳng (APT) mà họ nói là liên kết với Trung Quốc, Triều Tiên, Iran và Thổ Nhĩ Kỳ. Các cuộc tấn công bắt đầu vào đầu năm 2021 và đang tiếp diễn, các nhà nghiên cứu cho biết.
Theo báo cáo, các APT đang hoạt động độc lập với nhau nhưng có chung mục tiêu chung là nhắm vào các nhà báo. Các chiến thuật cũng tương tự, với các tác nhân đe dọa nhắm mục tiêu vào email và các tài khoản mạng xã hội như là sự xâm nhập lừa đảo trong các chiến dịch gián điệp mạng.
Thường tự đóng giả là nhà báo, những kẻ đe dọa đã tập trung vào các chiến dịch lừa đảo với mục tiêu thu thập thông tin xác thực, đánh cắp dữ liệu hữu ích cho các chế độ cụ thể và giám sát kỹ thuật số các nhà báo chính trị.
APT Tradecraft: Trò lừa đảo
Các nhà nghiên cứu cho biết, các cuộc tấn công thường liên quan đến một số loại kỹ thuật xã hội để hạ thấp sự bảo vệ của các mục tiêu nhằm dụ họ tải xuống và thực thi các tải trọng độc hại khác nhau trên các thiết bị kỹ thuật số cá nhân của họ. Các nhà nghiên cứu cho biết, chiêu dụ bao gồm các email và tin nhắn được gửi qua các nền tảng mạng xã hội khác nhau về các chủ đề liên quan đến lĩnh vực trọng tâm chính trị của họ.
[Sự kiện theo yêu cầu MIỄN PHÍ: Tham gia Zane Bond của Keeper Security trong hội nghị bàn tròn Threatpost và tìm hiểu cách truy cập an toàn vào máy của bạn từ mọi nơi và chia sẻ các tài liệu nhạy cảm từ văn phòng tại nhà của bạn. XEM TẠI ĐÂY.]
Trong các trường hợp khác nhau, những kẻ tấn công sẽ nói dối, đăng nhiễm phần mềm độc hại, để đạt được sự tồn tại lâu dài trên mạng của người nhận và tiến hành trinh sát mạng bên và phát tán thêm các trường hợp lây nhiễm phần mềm độc hại trong mạng của mục tiêu.
Các chiến thuật thứ cấp bao gồm theo dõi hoặc khảo sát các nhà báo. Proofpoint cho biết kẻ thù đã sử dụng các cảnh báo web được cài đặt trên thiết bị của các nhà báo để thực hiện giám sát.
Nhà báo đã được nhắm mục tiêu trước đây, nhưng không phải như thế này
Trong khi báo cáo mới nhất theo dõi một số hoạt động gần đây nhất chống lại các nhà báo, việc nhắm mục tiêu vào nhóm cá nhân này chắc chắn không phải là điều mới lạ, dựa trên loại thông tin mà các nhà báo có thể tiếp cận khi đề cập đến các vấn đề chính trị và kinh tế xã hội, họ lưu ý.
Các nhà nghiên cứu viết: “Các tác nhân APT, không phụ thuộc vào nhà nước của họ, có và có khả năng sẽ luôn có nhiệm vụ nhắm mục tiêu các nhà báo và tổ chức truyền thông và sẽ sử dụng các nhân vật có liên quan để nâng cao mục tiêu và ưu tiên thu thập của họ”.
Hơn nữa, sự tập trung vào phương tiện truyền thông của các APT dường như không bao giờ suy giảm, điều này sẽ truyền cảm hứng cho các nhà báo làm mọi thứ có thể để bảo mật thông tin liên lạc và dữ liệu nhạy cảm của họ, họ nói.
Cuộc tấn công APTs do Trung Quốc hậu thuẫn ở Mỹ
Từ tháng 2021 đến tháng XNUMX năm XNUMX, các nhà nghiên cứu của Proofpoint đã xác định năm chiến dịch bằng cách
APT TA412 của Trung Quốc, còn được gọi là Zirconi, nhắm mục tiêu đến các nhà báo có trụ sở tại Hoa Kỳ, đặc biệt là những người đưa tin về chính trị và an ninh quốc gia Hoa Kỳ trong các sự kiện thu hút sự chú ý của quốc tế, các nhà nghiên cứu cho biết.
Cách thức thực hiện các chiến dịch phụ thuộc vào tình hình chính trị hiện tại của Hoa Kỳ và những kẻ tấn công chuyển mục tiêu tùy thuộc vào việc các nhà báo đang đưa tin về các chủ đề mà chính phủ Trung Quốc quan tâm, họ nói.
Họ cho biết một chiến dịch lừa đảo do thám đã xảy ra trong những ngày ngay trước cuộc tấn công ngày 6 tháng XNUMX vào tòa nhà Quốc hội Hoa Kỳ, với những kẻ tấn công tập trung đặc biệt vào Nhà Trắng và các phóng viên có trụ sở tại Washington trong thời gian này.
Kẻ tấn công đã sử dụng các dòng chủ đề lấy từ các bài báo gần đây của Mỹ liên quan đến các chủ đề chính trị thích hợp vào thời điểm đó, bao gồm các hành động của cựu Tổng thống Donald Trump, các phong trào chính trị của Mỹ liên quan đến Trung Quốc và gần đây là lập trường của Mỹ và sự tham gia của Nga vào cuộc chiến chống Ukraine, các nhà nghiên cứu nói.
Tải trọng thay đổi
Trong các chiến dịch được quan sát, Zirconium được sử dụng làm báo hiệu web tải trọng của nó, một chiến thuật phù hợp với chiến dịch cyberespionage chống lại các nhà báo mà APT đã tiến hành từ năm 2016, các nhà nghiên cứu cho biết.
Báo hiệu web, thường được gọi là pixel theo dõi, báo hiệu theo dõi hoặc lỗi web, nhúng một đối tượng không hiển thị được siêu liên kết vào nội dung email mà khi được bật, sẽ cố gắng truy xuất tệp hình ảnh lành tính từ máy chủ do tác nhân kiểm soát.
Họ viết: “Các nhà nghiên cứu của Proofpoint đánh giá những chiến dịch này nhằm xác thực các email được nhắm mục tiêu đang hoạt động và để có được thông tin cơ bản về môi trường mạng của người nhận.
Các nhà nghiên cứu đã quan sát thấy một APT khác do Trung Quốc hậu thuẫn, TA459, vào cuối tháng 2022 năm XNUMX nhắm mục tiêu vào các nhân viên truyền thông ở Đông Nam Á bằng các email chứa tệp đính kèm Royal Road RTF độc hại, nếu được mở, sẽ cài đặt và thực thi phần mềm độc hại Chinoxy – một cửa sau được sử dụng để đạt được sự bền bỉ trên máy của nạn nhân.
Các nhà nghiên cứu lưu ý rằng thực thể được nhắm mục tiêu chịu trách nhiệm báo cáo về cuộc xung đột Nga-Ukraine, phù hợp với nhiệm vụ lịch sử của TA459 là thu thập các vấn đề tình báo liên quan đến Nga và Belarus.
Cơ hội việc làm giả từ Bắc Triều Tiên
Các nhà nghiên cứu cũng quan sát thấy TA404 phù hợp với Triều Tiên — được biết đến nhiều hơn với tên gọi Lazarus– Vào đầu năm 2022 nhắm mục tiêu vào một tổ chức truyền thông có trụ sở tại Hoa Kỳ với các cuộc tấn công lừa đảo dường như mang lại cơ hội việc làm từ các công ty có uy tín cho các nhà báo, họ báo cáo. Cuộc tấn công gợi nhớ đến một tương tự chống lại các kỹ sư mà nhóm đã thành lập vào năm 2021.
Các nhà nghiên cứu đã viết về chiến dịch lừa đảo gần đây: “Nó bắt đầu với lừa đảo do thám sử dụng các URL được tùy chỉnh cho từng người nhận. “Các URL đã mạo danh một tin tuyển dụng với các trang đích được thiết kế để trông giống như một trang đăng tuyển dụng có thương hiệu”.
Tuy nhiên, các trang web lừa đảo và các URL được trang bị để chuyển tiếp thông tin nhận dạng về máy tính hoặc thiết bị mà ai đó đang làm việc để cho phép máy chủ lưu trữ theo dõi mục tiêu đã định, các nhà nghiên cứu cho biết.
Nhắm mục tiêu APT do Thổ Nhĩ Kỳ hậu thuẫn Thông tin đăng nhập Twitter
Các APT bị cáo buộc có quan hệ với chính phủ Thổ Nhĩ Kỳ cũng đã nhắm mục tiêu vào các nhà báo, với một chiến dịch bao gồm một “tác nhân đe dọa tiềm tàng” TA482 được quan sát bởi Proofpoint. Theo các nhà nghiên cứu, APT đã chủ động nhắm mục tiêu vào các nhà báo từ đầu năm 2022, thông qua tài khoản Twitter trong nỗ lực đánh cắp thông tin đăng nhập của các nhà báo và tổ chức truyền thông chủ yếu có trụ sở tại Hoa Kỳ.
Các nhà nghiên cứu lưu ý rằng động cơ đằng sau nhóm này là tuyên truyền ủng hộ Tổng thống Recep Tayyip Erdogan, đảng chính trị cầm quyền của Thổ Nhĩ Kỳ, Đảng Công lý và Phát triển, mặc dù điều này không thể được xác nhận một cách chắc chắn, các nhà nghiên cứu lưu ý.
Các chiến dịch sử dụng email lừa đảo thường liên quan đến bảo mật Twitter — cảnh báo người dùng về một đăng nhập đáng ngờ – để thu hút sự chú ý của người nhận, đưa họ đến trang thu thập thông tin xác thực mạo danh Twitter nếu họ nhấp vào liên kết.
Thông tin xác thực về thu hoạch APTs của Iran
Các APT có liên kết với Iran đã đặc biệt tích cực trong các cuộc tấn công chống lại các nhà báo và báo chí, thường đóng giả chính các nhà báo trong các cuộc tấn công để tham gia giám sát các mục tiêu và thu thập thông tin của họ, Proofpoint cho biết.
Một trong những thủ phạm tích cực nhất của các cuộc tấn công này là TA453, được gọi là Mèo con quyến rũ, Một nhóm khét tiếng Proofpoint nói.
Nhóm này khét tiếng với việc giả dạng các nhà báo từ khắp nơi trên thế giới để nhắm mục tiêu vào các nhà báo, học giả và nhà nghiên cứu giống nhau bằng cách tham gia thảo luận về
chính sách đối ngoại hoặc các chủ đề khác liên quan đến Trung Đông, sau đó họ sẽ được mời tham dự một cuộc họp ảo thông qua một tệp PDF tùy chỉnh nhưng lành tính.
Tuy nhiên, PDF - thường được phân phối từ các dịch vụ lưu trữ tệp - hầu như luôn chứa liên kết đến trình rút ngắn URL và trình theo dõi IP chuyển hướng mục tiêu đến các miền thu thập thông tin xác thực do tác nhân kiểm soát, các nhà nghiên cứu cho biết.
TA456, còn được gọi là Tortoiseshell, là một tác nhân đe dọa khác có liên kết với Iran thường đóng vai trò là các tổ chức truyền thông để nhắm mục tiêu vào các nhà báo bằng các email theo chủ đề bản tin có chứa các cảnh báo web có thể theo dõi mục tiêu.
Một diễn viên khác được nhà nước Iran tài trợ, TA457, ẩn sau danh nghĩa của một tổ chức truyền thông giả mạo có tên là “iNews Reporter” để cung cấp phần mềm độc hại cho các nhân viên quan hệ công chúng
cho các công ty đặt tại Hoa Kỳ, Israel và Ả Rập Saudi, các nhà nghiên cứu cho biết. Họ cho biết trong khoảng từ tháng 2021 năm 2022 đến tháng XNUMX năm XNUMX, Proofpoint đã quan sát thấy các chiến dịch của kẻ đe dọa tiềm năng xảy ra khoảng hai đến ba tuần một lần.
Trong một chiến dịch diễn ra vào tháng 2022 năm 457, TAXNUMX đã gửi một email với dòng tiêu đề mỉa mai “Chiến tranh mạng Iran” cuối cùng đã đánh rơi một trojan truy cập từ xa vào máy của nạn nhân. Các nhà nghiên cứu báo cáo rằng chiến dịch nhắm mục tiêu đến cả địa chỉ email cá nhân và nhóm tại một số ít khách hàng của Proofpoint liên quan đến năng lượng, truyền thông, chính phủ và sản xuất.
[Sự kiện theo yêu cầu MIỄN PHÍ: Tham gia Zane Bond của Keeper Security trong hội nghị bàn tròn Threatpost và tìm hiểu cách truy cập an toàn vào máy của bạn từ mọi nơi và chia sẻ các tài liệu nhạy cảm từ văn phòng tại nhà của bạn. XEM TẠI ĐÂY.]
- Phân phối nội dung và PR được hỗ trợ bởi SEO. Được khuếch đại ngay hôm nay.
- PlatoData.Network Vertical Generative Ai. Trao quyền cho chính mình. Truy cập Tại đây.
- PlatoAiStream. Thông minh Web3. Kiến thức khuếch đại. Truy cập Tại đây.
- Trung tâmESG. Than đá, công nghệ sạch, Năng lượng, Môi trường Hệ mặt trời, Quản lý chất thải. Truy cập Tại đây.
- PlatoSức khỏe. Tình báo thử nghiệm lâm sàng và công nghệ sinh học. Truy cập Tại đây.
- nguồn: https://threatpost.com/journalists-target-apts/180224/
- : có
- :là
- :không phải
- $ LÊN
- 2016
- 2021
- 2022
- 50
- 700
- a
- Giới thiệu
- học giả
- truy cập
- Theo
- Trợ Lý Giám Đốc
- diễn xuất
- hành động
- hoạt động
- tích cực
- hoạt động
- diễn viên
- thêm vào
- địa chỉ
- tiến
- Sau
- chống lại
- căn chỉnh
- Căn chỉnh
- như nhau
- cáo buộc
- cho phép
- Ngoài ra
- luôn luôn
- an
- và
- Một
- bất cứ nơi nào
- Xuất hiện
- xuất hiện
- khoảng
- Tháng Tư
- APT
- LÀ
- KHU VỰC
- vũ trang
- xung quanh
- bài viết
- AS
- Á
- tấn công
- đánh giá
- liên kết
- At
- tấn công
- Các cuộc tấn công
- Nỗ lực
- sự chú ý
- cửa sau
- BE
- được
- trước
- bắt đầu
- sau
- Belarus
- giữa
- thân hình
- trái phiếu
- cả hai
- thương hiệu
- lỗi
- Xây dựng
- nhưng
- by
- gọi là
- Chiến dịch
- Chiến dịch
- CAN
- không thể
- đầu tiên
- mang
- chắc chắn
- chắc chắn
- Trung Quốc
- Trung Quốc
- Nhấp chuột
- Khí hậu
- Thu
- bộ sưu tập
- đến
- thông thường
- Truyền thông
- Các công ty
- máy tính
- Tiến hành
- thực hiện
- XÁC NHẬN
- xung đột
- thích hợp
- chứa
- Corp
- bao gồm
- chế tạo
- CHỨNG CHỈ
- Credentials
- Current
- khách hàng
- tùy chỉnh
- không gian mạng
- Hoạt động gián điệp mạng
- dữ liệu
- Ngày
- cung cấp
- giao
- Tùy
- thiết kế
- Phát triển
- thiết bị
- Thiết bị (Devices)
- kỹ thuật số
- thảo luận
- do
- tài liệu
- lĩnh vực
- donald
- Donald Trump
- tải về
- hủy bỏ
- suốt trong
- mỗi
- Đầu
- Đông
- những nỗ lực
- nhúng
- xuất hiện
- kích hoạt
- năng lượng
- thuê
- tương tác
- Kỹ Sư
- Kỹ sư
- thực thể
- môi trường
- Erdogan
- sự kiện
- BAO GIỜ
- Mỗi
- tất cả mọi thứ
- thi hành
- giả mạo
- Tháng Hai
- Tập tin
- năm
- Tập trung
- tập trung
- tập trung
- Trong
- Cựu
- tìm thấy
- lừa đảo
- từ
- cơ bản
- xa hơn
- Thu được
- đạt được
- được
- mục tiêu
- Chính phủ
- Nhóm
- Các nhóm
- Lực lượng Cảnh sát
- số ít
- thu hoạch
- thu hoạch
- Có
- hữu ích
- mang tính lịch sử
- Trang Chủ
- Nơi làm việc
- chủ nhà
- lưu trữ
- House
- Độ đáng tin của
- Hướng dẫn
- Tuy nhiên
- HTTPS
- xác định
- xác định
- if
- hình ảnh
- ngay
- in
- bao gồm
- Bao gồm
- độc lập
- hệ thống riêng biệt,
- các cá nhân
- nhiễm trùng
- Nhiễm trùng
- thông tin
- thông tin
- truyền cảm hứng
- cài đặt, dựng lên
- trường hợp
- Sự thông minh
- dự định
- quan tâm
- Quốc Tế
- mời
- tham gia
- sự tham gia
- IP
- Iran
- Người Iran
- Hồi giáo
- Israel
- các vấn đề
- IT
- ITS
- Tháng
- Tháng một
- Việc làm
- Cơ hội nghề nghiệp
- tham gia
- Các nhà báo
- Tư pháp
- Giữ
- nổi tiếng
- korea
- hạ cánh
- trang đích
- Trễ, muộn
- mới nhất
- LEARN
- nói dối
- Lượt thích
- Có khả năng
- Dòng
- dòng
- LINK
- nằm
- Xem
- giống như
- Thấp
- thấp hơn
- máy
- Máy móc
- phần lớn
- phần mềm độc hại
- Nhiệm vụ
- sản xuất
- Tháng Ba
- Vấn đề
- max-width
- Phương tiện truyền thông
- các cuộc họp
- tin nhắn
- Tên đệm
- Trung Đông
- chi tiết
- hầu hết
- phong trào
- nhiều
- quốc dân
- An ninh quốc gia
- mạng
- tin tức
- Đăng ký bản tin
- Báo chí
- Bắc
- Bắc Triều Tiên
- đáng chú ý
- lưu ý
- khét tiếng
- tiểu thuyết
- vật
- mục tiêu
- quan sát
- xảy ra
- of
- cung cấp
- Office
- on
- Theo yêu cầu
- ONE
- đang diễn ra
- mở
- Cơ hội
- or
- gọi món
- cơ quan
- tổ chức
- Nền tảng khác
- ra
- đề cương
- tổng thể
- tổng quan
- trang
- trang
- đặc biệt
- bên
- kiên trì
- riêng
- Nhân viên
- giả mạo
- Lừa đảo
- tấn công lừa đảo
- chiến dịch lừa đảo
- Nền tảng
- plato
- Thông tin dữ liệu Plato
- PlatoDữ liệu
- điều luật
- chính trị
- chính trị
- đặt ra
- Bài đăng
- Chủ tịch
- Tổng thống Donald Trump
- phong phú
- Tuyên truyền
- công khai
- Quan hệ công chúng
- gần đây
- gần đây
- gọi
- Bất kể
- các chế độ
- liên quan
- quan hệ
- Đặt lại
- làm nhớ lại
- xa
- truy cập từ xa
- báo cáo
- Báo cáo
- Báo cáo
- có uy tín
- nhà nghiên cứu
- chịu trách nhiệm
- cách mạng
- đường
- thường xuyên
- hoàng gia
- cầm quyền
- Nga
- s
- Nói
- tương tự
- Saudi
- Ả Rập Saudi
- nói
- an toàn
- an toàn
- an ninh
- đã xem
- nhạy cảm
- gởi
- Tháng Chín
- máy chủ
- Chia sẻ
- nên
- tương tự
- kể từ khi
- Kể từ khi 2016
- xi phông
- website
- Các trang web
- Mạng xã hội
- Kỹ thuật xã hội
- truyền thông xã hội
- phương tiện truyền thông xã hội nền tảng
- một số
- Một người nào đó
- Đông Nam
- Đông Nam Á
- riêng
- đặc biệt
- lan tràn
- lập trường
- bắt đầu
- Tiểu bang
- Bang
- đình công
- Tiêu đề
- hỗ trợ
- giám sát
- đáng ngờ
- chuyển
- chiến thuật
- dùng
- Mục tiêu
- nhắm mục tiêu
- nhắm mục tiêu
- mục tiêu
- việc này
- Sản phẩm
- thế giới
- trộm cắp
- cung cấp their dịch
- Them
- tự
- Kia là
- họ
- điều này
- những
- Tuy nhiên?
- mối đe dọa
- diễn viên đe dọa
- số ba
- Thứ năm
- Ties
- thời gian
- đến
- Chủ đề
- theo dõi
- Theo dõi
- Trojan
- kèn
- Thổ Nhĩ Kỳ
- Tiếng Thổ Nhĩ Kỳ
- Quay
- hai
- kiểu
- thường
- chúng tôi
- Ukraina
- Cuối cùng
- Kỳ
- Hoa Kỳ
- không
- trên
- URL
- sử dụng
- đã sử dụng
- người sử dang
- HIỆU LỰC
- khác nhau
- thông qua
- ảo
- Cuộc họp ảo
- chiến tranh
- là
- Đường..
- web
- tuần
- là
- khi nào
- cái nào
- trắng
- Nhà Trắng
- CHÚNG TÔI LÀ
- sẽ
- với
- ở trong
- đang làm việc
- thế giới
- sẽ
- đã viết
- trên màn hình
- zephyrnet